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Vorwort 


Normen und Standards sind ein wichtiger Teil unserer Wirtschaftsordnung. Die Wett- 
bewerbsfähigkeit der deutschen Wirtschaft hängt maßgeblich davon ab, wie schnell 
es uns gelingt, neue Ideen in Produkte, Verfahren und Dienstleistungen umzusetzen. 
Das gilt auch für neue datengetriebene Dienstleistungen, die Smart Services, die im 
Rahmen des Technologieprogramms Smart Service Welt vom Bundesministerium für 
Wirtschaft und Energie (BMWi) gefördert werden und in dessen Rahmen dieses Buch 
entstanden ist. 

Normen und Standards können dabei als Katalysator helfen, Innovationen schnel- 
ler und breiter am Markt zu etablieren. Unternehmen mit innovativen smarten Ge- 
schäftsmodellen finden jedoch eine immer komplexere Standards- und Normen- 
landschaft vor. Auf der einen Seite werden immer mehr Standards in einer Vielzahl 
von Gremien und Konsortien erarbeitet. Auf der anderen Seite gefährden fehlende 
Normen und Standards aber auch die Rechtsunsicherheit bezüglich der Rolle von 
standardessentiellen Patenten den Fortschritt in der Digitalisierung. 

Für die Unternehmen ist damit nicht nur die Anwendung von Normen und Stan- 
dards, sondern auch die aktive Teilnahme an der Gestaltung von Normungs- und Stan- 
dardisierungsprozessen ein wichtiges strategisches Mittel. Sie erlauben ihnen, ihre In- 
novationskraft zu wahren und am Puls der Zeit zu bleiben. Unternehmen, die sich in 
diesem Prozess engagieren, profitieren u.a. vom direkten Informationsaustausch mit 
anderen interessierten Marktteilnehmern. Vor allem die Entwicklung von Interopera- 
bilitätsstandards steht im Vordergrund bei der erfolgreichen Etablierung von Smart- 
Service-Geschäftsmodellen. 

Das Buch „Normen und Standards für die digitale Transformation“ leistet einen 
wichtigen Beitrag, um die Komplexität der Normungs- und Standardisierungsland- 
schaft besser zu durchdringen. Die Autoren aus Wissenschaft und Praxis liefern Unter- 
nehmern, Normungsorganisationen und politischen Entscheidungsträgern konkrete 
Entscheidungshilfen und Anregungen. In diesem Buch werden z.B. Tools zur Recher- 
che und Analyse von Normen und Standards vorgestellt und diskutiert, aber auch 
Hinweise auf Hilfestellungen für die Entscheidung, in welchem Normungs- und Stan- 
dardisierungsgremium man sich engagieren sollte, gegeben. Ein Entscheidungsbaum 
kann Unternehmen bei der Abwägung zwischen Normung und Patentierung unter- 
stützen. Ferner werden konkrete innovative Methoden zur Konsensfindung in der Nor- 
mung vorgestellt. 

Im Zuge der digitalen Transformation werden auch neue Player — wie die Open- 
Source-Communities - für die Normung und Standardisierung wichtiger, so dass auch 
in diesem Kontext Entscheidungen gefragt sind. Schließlich spielt das Thema Cyber- 
sicherheit für Unternehmen und andere Organisationen eine immer größere Rolle, so 
dass folglich auch hier Normen und Standards an Relevanz gewinnen. 
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Axel Mangelsdorf 
1 Einleitung 


Die digitale Transformation der Unternehmenswelt umfasst den grundlegenden Wan- 
del durch die Etablierung neuer interbasierten Technologien (Schallmo et al. 2017). 
Unternehmen und ganze Industrien stehen dabei vor der Herausforderung, entlang 
der gesamten Wertschöpfungskette die Potentiale der Informationstechnologien zu 
nutzen. Radikal neue Technologien wie Big Data Analytics, Cloud-Computing, Künst- 
liche Intelligenz, maschinelles Lernen, Online-Plattformen, Social Media und Roboter 
werden in verschiedensten Varianten in nahezu allen Wirtschaftsbereichen eingesetzt 
und ermöglichen die intelligente Fertigung (Smart Manufacturing oder Smart Produc- 
tion), datenbasierte Dienstleistungen (Smart Services), intelligente Gebäude (Smart 
Buildings bzw. Smart Homes im Endverbraucherbereich), intelligente Landwirtschaft 
(Smart Agriculture) und intelligente Stromnetze (Smart Grid). Mit den internetbasier- 
ten Technologien realisieren Unternehmen Produktivitätssteigerungen, erschaffen in- 
novative Produkte und Dienstleistungen und zerstören dabei sogar alte Märkte und 
lassen neue entstehen. 

Normen und Standards spielen bei der digitalen Transformation eine entschei- 
dende Rolle. Schnittstellenstandards, Normen für Qualität und Sicherheit, Standards 
als Grundlage für Zertifizierung und ethische Standards sind nur einige Beispiele, oh- 
ne die die digitale Transformation undenkbar wäre. Schnittstellen- oder Kompatibili- 
tätsstandards sind besonders wichtig. Die Vernetzung von Produkten und System ist 
Kern der digitalen Transformation und standardisierte Schnittstellen ermöglichen erst 
den Datenaustausch. Ebenso ermöglich die Existenz von Kompatibilität- oder Schnitt- 
stellenstandards die Realisierung von Netzwerkeffekten. Netzwerkeffekte beschreiben 
die Korrelation zwischen dem Nutzen des Netzwerks und der Anzahl der Anwender: 
Je größer die Anzahl der Anwender eines kompatiblen Netzwerkes, desto größer ist 
der Nutzen für die Anwender. Kompatibilität herstellen ist jedoch nicht genug. An- 
wender und Verbraucher müssen Vertrauen in Sicherheit und Qualität von Produkten 
und Dienstleistungen haben. Sicherheits- und Qualitätsstandards - auch und vor al- 
lem, wenn sie Grundlage von Zertifizierung durch Dritte sind - können sicherstellen, 
dass Unternehmen und Plattformanbieter Mindestanforderungen einhalten. Normen 
und Standards sind oder umfassen Instrumente, um Regulierungsaspekte von Cyber- 
sicherheit und Datensicherheit zu adressieren. Schließlich ermöglicht die Produktion 
von standardisierten Produkten die Realisierung geringer Produktionskosten durch 
Skaleneffekte. 

Es existieren zwar bereits Normen und Standards für die digitale Transformati- 
on. Normungsbedarf besteht jedoch für viele weitere Felder. Diese reichen von der 
Standardisierung von Begriffen über Referenzmodellen und Schnittstellen bis zur IT- 
Sicherheit, wie die Normungsroadmap von DIN und DKE (2018) zeigt. Doch nicht nur 
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die Wirtschaft als Ganzes benötigt Standards fiir die digitale Transformation, sondern 
auch Unternehmen haben die strategische Bedeutung von Normen und Standards er- 
kannt und beteiligen sich immer aktiver in der konsortialen Standardisierung oder 
formellen Normung. 

Vor diesem Hintergrund wird in diesem Buch die Bedeutung von Normen und 
Standards sowie der Normung und Standardisierung fiir die digitale Transformation 
erörtert. Das Buch ist in zwei Kapitel unterteilt. Teil I thematisiert die Anwendung 
von Normen und Standards und Teil II adressiert die Erstellung von Normen und 
Standards. In Kapitel 2 zeigt Axel Mangelsdorf verschiedene Tools zur Recherche und 
Analyse von Normen und Standards. Zudem wird eine Entscheidungshilfe skizziert, 
die Unternehmen helfen soll, zu entscheiden, in welchen Standardisierungskon- 
sortien sich Unternehmen beteiligen sollen oder ob sogar eine Neugründung eines 
Konsortiums sinnvoll ist. In Kapitel 3 thematisiert Claudia Koch die Anwendung von 
Normen und Standards in der additiven Fertigung („3D-Druck“). Die Fallstudie zeigt, 
dass Normen für die Verbreitung neuer Technologien eine wichtige Rolle spielen und 
wie verschiedene Arten von Normen in den Phasen der Innovation unterschiedliche 
Funktionen haben. Die Bedeutung von Normen für Referenzarchitekturmodelle und 
Verwaltungsschalen für die strukturierte Vorgehensweise in der Normung im Bereich 
Industrie 4.0 und Smart Services wird von Thomas Schulz in Kapitel 4 hervorgeho- 
ben. Das Referenzarchitekturmodell RAMI4.0 zeichnet sich im Vergleich zu anderen 
Modellen durch Smart-Service-Fähigkeit aus. Das heißt, in RAMI4.0 wird berück- 
sichtigt, dass intelligente internetbasierte Dienste integriert und abgebildet werden 
können. Teil II widmet sich der Erstellung von Normen und Standards. Der gesamte 
Teil zeigt, dass Normen und Standards nicht allein Mehrwert für Unternehmen ge- 
nerieren, sondern im Zusammenspiel im Innovationssystem ihre Wirkung entfalten. 
Olaf-Gerd Gemein stellt in Kapitel 5 ein praxisbewährtes Verfahren zur Konsens- 
findung in der IKT-Standardisierung vor. Die Pivotal Points of Interoperability und 
andere Verfahren werden bei der Suche nach Interoperabilitätslösungen eingesetzt. 
Blind und Abdelkafı entwerfen in Kapitel 6 einen Entscheidungsbaum, mit dessen 
Hilfe Unternehmen entscheiden können, ob sie ihre Innovationen eher als Patent 
anmelden, in die formelle Normung einbringen, in einem Standard integrieren oder 
eine hybride Strategie wählen, also Normung und Patentierung verbinden wollen. 
In Kapitel 7 zeigt Tim Pohlmann das Zusammenspiel von Normen und Standards in 
den sogenannten standardessentiellen Patenten. Dabei zeigt sich einerseits, dass die 
Integration von Normen und Standards in Patenten für Technologieinhaber bedeutet, 
Lizenzeinnahmen zu erzielen. Andererseits können die Lizenzgebühren für standard- 
essentielle Patente so hoch sein, dass sie die Geschäftsmodell von Smart Services 
gefährden. Eine Umfangreiche Analyse der Rolle von Normungs- und Standardisie- 
rungsorganisationen auf der einen Seite und der Open-Source-Community auf der 
anderen Seite wird erstmals in diesem Buch in Kapitel 8 vorgenommen. Die Autoren 
Mirko Böhm und Davis Eisape zeigen, dass in den softwarebezogenen neuen Techno- 
logien, wozu auch Smart Services gehören, neben Normungs- und Standardisierungs- 
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organisationen auch die Open-Source-Community Ergebnisse mit „standardisieren- 
der Wirkung“ produziert. Daraus entsteht die Frage, wie Normungs- und Standardi- 
sierungsorganisationen und Open-Source-Community zusammenarbeiten können. 
Die Autoren zeigen, dass beide gleichzeitig sowohl Wettbewerber sind als auch kom- 
plementäre Produkte produzieren. Mona Mirtsch legt schließlich in Kapitel 9 die 
Bedeutung von Normen und Standards für die Cybersicherheit und Konformitätsbe- 
wertung dar. Dabei zeigt sich, dass das heutige Konformitätsbewertungssystem mit 
dem starken Fokus auf produktbasierte, statische Prüfung in der digitalen Transfor- 
mation und insbesondere in Bezug auf Cybersicherheit einer Anpassung bedarf. Für 
Technologien mit sehr schnellen Innovationszyklen, wie Smart Services, bedarf es 
zum Beispiel dynamischer Zertifizierungen. Zertifizierungssysteme für Qualitätsei- 
genschaften von IoT-Geräten und Infrastrukturen in Bezug auf die funktionalen und 
nicht funktionalen Eigenschaften von IoT-Lösungen werden zum Beispiel im Smart- 
Service-Projekt IOT-T entwickelt (IOT-T 2018). 


Teil I: Normen und Standards anwenden 


6 — Teill Normen und Standards anwenden 


Wie wichtig ist die Anwendung von Normen und Standards fiir deutsche Unterneh- 
men? Nach einer Befragung des IW Köln (Engels 2017) geben 85 % der Unternehmen 
an, dass Standards eine wichtig Rolle bei der Digitalisierung haben. Haben Unterneh- 
men sich bereits aktiv mit der Digitalisierung beschäftigt und eine Digitalisierungs- 
strategie implementiert, steigt der Anteil der Unternehmen, die Standards als wichtig 
halten. Offensichtlich lernen Unternehmen, während sie die Digitalisierung planen, 
die Wichtigkeit von Standards zu schätzen. Umgekehrt zeigen Unternehmensumfra- 
gen des IW Köln, dass fehlende Standards eine Barriere für die Umsetzung der unter- 
nehmensinternen Digitalisierung darstellen. Die Bedeutung von Standards und Nor- 
men wird differenziert nach formalen Normen und Konsortialstandards werden seit 
dem 2013 regelmäßig im Rahmen des Deutschen Normungspanels abgefragt (DNP 

2017). Dabei zeigt sich, dass formale Normen über alle Jahre stets als wichtig einge- 

stuft werden. Konsortialstandards werden dagegen im Vergleich als weniger wichtig 

bewertet und auch eingesetzt. 

Welchen Einfluss hat die Implementierung von Normen und Standards für die 
Verwirklichung von Unternehmenszielen? Die Ergebnisse der Unternehmensbefra- 
gungen (Engels 2017, DNP 2017) zeigen hier durchweg ein positives Bild: 

- Normen und Standards unterstützen die Optimierung von Forschungs-, Entwick- 
lungs-, und Innovationsaktivitäten. Das gilt für formelle Normen und Konsortial- 
standard, wobei erstere als wichtiger gesehen werden. 

— Durch die Anwendung von Normen und Standards können Unternehmen Produk- 
tivitätssteigerungen realisieren und ihre Wettbewerbsfähigkeit steigern. 

-— Durch Normen und Standards wird Interoperabilität hergestellt. 

- Normen und Standards ermöglichen den Markzutritt und bieten Unternehmen 
Rechtssicherheit. 


Wie können Unternehmen die relevanten Normen und Standards für ihre Interessen 
finden? Welche Rolle spielen Normen und Standards in innovativen digitalen Industri- 
en? Wie helfen Normen und Standards für Referenzarchitekturen die Normung für die 
digitale Transformation zu organisieren? Um diese Fragen zu beantworten, werden im 
Teil I „Normen und Standards anwenden“ folgende Themen in den drei Kapiteln ver- 
tieft behandelt. In Kapitel 2 stellt Axel Mangelsdorf systematisch dar, wie Normen und 
Standard mit Hilfe von Online-Tools gesucht werden. Es werden zum einen bewährte 
Suchwerkzeuge vorgestellt, die auf den Webseiten der Normungsorganisationen zur 
Verfügung gestellt werden und zum anderen kostenpflichtige Tools vorgestellt, mit 
dessen Hilfe sich nicht nur Normen und Standards effizient suchen, sondern auch 
hinsichtlich der technischen Relevanz und Marktdurchdringung analysieren lassen. 
In Kapitel 3 untersucht Claudia Koch die Herausforderungen in der Additiven Ferti- 
gung („3D-Druck“) als ein Beispiel für die Bedeutung von Normen und Standards in 
der digitalen Transformation. Dabei wird deutlich, dass Normen und Standards die 
Verbreitung von Innovationen fördern, aber dennoch noch viele Normen fehlen. Das 
Kapitel veranschaulicht, dass Normen und Standards nicht vom Innovationssystem 
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getrennt betrachtet werden können, sondern in Wechselwirkung mit anderen Aktivi- 
täten verschiedener Interessensgruppen auftreten. Damit sich neue Technologien er- 
folgreich am Markt durchsetzen, wird empfohlen, dass umfassende Normungs- und 
Standardisierungsstrategien von Beginn an entwickelt werden sollten. In diesem Zu- 
sammenhang legt Thomas Schulz in Kapitel 4 die Bedeutung der Normen und Stan- 
dards für Referenzarchitekturen für die digitale Transformation dar. Die Norm für das 
Referenzarchitekturmodell RAMI 4.0 zeigt, wie die Normung und Standardisierung in 
der digitalen Transformation strukturiert werden kann. Vor allem für die Herstellung 
von Interoperabilität sind die Referenzarchitekturen eine wichtige Voraussetzung. Ne- 
ben RAMI existiert ein weiteres Referenzarchitekturmodell, das vom Industrial Inter- 
net Consortium (IIC) entwickelt wurde. In dem Beitrag werden beide Ansätze mitein- 
ander verglichen. Dabei zeigt sich, dass das Referenzarchitekturmodell RAMI 4.0 nicht 
nur für Industrie-4.0-Ansätze Mehrwert generiert, sondern auch als Smart Service an- 
schlussfähig gelten kann. 


Axel Mangelsdorf 
2 Normen und Standards recherchieren 
und analysieren 


2.1 Einleitung 


In diesem Kapitel werden Suchwerkzeuge, Methoden und Praxistipps für die Recher- 
che von Normen und Standards vorgestellt. Das Kapitel ist wie folgt aufgebaut. Zu- 
nächst wird begrifflich definiert, was unter Normen und Standards zu verstehen ist. 
Es werden die Begriffe Werknorm, Konsortialstandard und formale Norm definiert und 
voneinander abgegrenzt. Anschließend wird die Syntax von Normen erklärt und das 
Klassifikationssystem von Normen dargelegt. Schließlich werden die wichtigsten On- 
line-Tools für die Recherche von Normen und Standards vorgestellt. Eine Beispielre- 
cherche zeigt die verschiedenen Merkmale dieser Tools. 

Normen und Standards können anhand der Normenpyramide unterteilt werden 
(Abbildung 2.1). Werknormen werden ausschließlich unternehmensintern entwickelt. 
Werknormen werden unternehmensintern eingesetzt oder regeln die Kooperation mit 
anderen verbundenen Unternehmen, z.B. Zulieferern. Konsortialstandards sind das 
Ergebnis von Standardisierungsbemühungen in einer ausgesuchten Gruppe von Un- 
ternehmen, die sich in einem temporären informellen Konsortium zusammengefun- 
den haben. Formelle Normen werden im Vollkonsens von interessierten Kreisen in 
formellen Normungsorganisationen wie DIN und DKE getroffen. Ebenso wie bei Werk- 
normen und Konsortialstandards ist die Anwendung von formellen Normen freiwillig. 
Werden Normen jedoch in Gesetzen genannt oder sind Grundlage privater Verträge, 
können sie auch verbindlichen Charakter bekommen. Zum Zeitpunkt der Veröffent- 
lichung definieren Normen den Stand der Technik, wenn sie z.B. Prüfverfahren, Si- 
cherheitsanforderungen oder empfohlene Eigenschaften enthalten. 


DIN- 

Internationale Normen 
Normen DIN ISO DINIEC 
werk 


Europäische Normen 
DIN EN 


Nationale Normen 
DIN 


Wack Abb. 2.1: Normenpyramide 
en (Quelle: Friedel und Spindler 
(2016)). 
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Formale Normen werden in nationalen, europäischen oder internationalen Nor- 
mungsorganisationen erstellt. Auf der nationalen Ebene sind das das DIN Deutsche 
Institut für Normung e.V. und die DKE Kommission Elektrotechnik Elektronik Infor- 
mationstechnik in DIN und VDE. DIN, als Dienstleister organisiert, steuert und mo- 
deriert die Normungsprozesse. DIN ist als nationale Normungsorganisation in den 
europäischen und internationalen Normungsgremien anerkannt. Rund 30.000 Exper- 
tinnen bilden die interessierten Kreise und bringen ihr Wissen in den Normungspro- 
zess ein. Die DKE ist die nationale Organisation für die Normung in den Bereichen 
Elektrotechnik, Elektronik und Informationstechnik. DKE ist ein Organ des DIN und 
des VDE Verbands der Elektrotechnik Elektronik Informationstechnik e. V. Die in der 
DKE erarbeiteten Normen sowie elektronischen Sicherheitsnormen bilden als VDE Be- 
stimmungen das VDE-Vorschriftenwerk. Auf der europäischen Ebene bilden das Eu- 
ropean Committee for Standardization (CEN), das European Comitee for Electrotech- 
nical Standardization (CENELEC) und das European Telecommunications Standards 
Institute (ETSI) die europäischen Normungsorganisationen. Auf internationaler Ebe- 
ne findet Normungsarbeit in der International Organization for Standardization (ISO), 
der International Electrotechnical Commission (IEC) sowie der Normungsabteilung 
der International Telecommunications Union (ITU) statt. Nationale Normungsinstitu- 
te können Mitglieder bei ISO und IEC werden und damit internationale Normen be- 
einflussen. 

Während viele formale Normungsorganisationen oft schon seit mehr als 100 Jahre 
existieren, sind konsortiale Standardisierungsorganisationen ein relativ neues Phä- 
nomen. Besonders in der durch schnelle Innovationszyklen gekennzeichneten Infor- 
mations- und Kommunikationstechnologie (IKT) Industrie können die auf Konsensus 
basierenden formalen Normungsorganisationen mit der Marktdynamik nicht mithal- 
ten (Pohlmann 2014). Schnelllebige Märkte benötigen flexible Lösungen, um Stan- 
dards zu setzen. In den letzten zwanzig Jahren konnten Standardkonsortien und Foren 
oft flexibler und schneller Standards setzten als formale Normungsorganisationen. 
Die Landschaft der konsortialen Standardisierung ist heterogen, was die technische 
Spezialisierung, Struktur, Mitglieder und Umgang mit rechtlichem Eigentum angeht. 
Konsortiale Standardisierungsorganisationen müssen nach Definition von CEN/ISSS 
(2009) folgende Bedingungen erfüllen, um als solche zu gelten: Die Organisation muss 
eine internationale Ausrichtung haben und darf kein Instrument einzelstaatlicher Po- 
litik sein. Die Mitgliederstruktur in einer konsortialen Standardisierungsorganisation 
muss dementsprechend auch international ausgerichtet sein. Die Organisation darf 
des Weiteren nicht von einem einzelnen Unternehmen, einer Regierung oder Interes- 
sensgruppe einer bestimmten proprietären Technologie gegründet worden sein und 
muss zu wichtigen Gebieten der Standardisierung beitragen. 

Auf den Wettbewerb mit den Konsortien haben die formellen Normungsorganisa- 
tionen reagiert. Unternehmen und andere interessierte Kreise können nun in formel- 
len Normungsorganisationen neben formellen Normen auch Standards entwickeln. 
Als Publikationsform werden sie auf nationaler Ebene DIN SPECs, auf der europäi- 
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schen Ebene CEN Workshop Agreements und auf der internationalen Ebene ISO Pu- 
blicly Available Specifications oder ISO Technical Specifications genannt. 


2.2 Normen-Benennungssystem 


Normen und Standards folgen zur Wiederkennung und Systematisierung einem Be- 

nennungssystem oder Identifizierungszeichen. Normen und Standarddokumente 

können anhand einer Reihe von Buchstaben und Ziffern identifiziert werden. Jede 

Komponente hat dabei eine bestimmte Bedeutung. Folgende Norm ist ein Beispiel: 
Bsp.: DIN EN ISO/IEC 27001:2017-06 

— DIN = Deutsches Institut für Normung, ist die Normungsorganisation, die für die 
Norm verantwortlich ist. 

- EN = Europäische Norm. Europäische Normen sind Normen, die von den drei eu- 
ropäischen Normungsorganisationen ratifiziert worden sind. 

- ISO/IEC = International Organization for Standardization/ International Electro- 
technical Commission. Die Norm wurde als internationale Norm entwickelt. 

- 27001: Nummer der Norm. Europäische Normen werden in der Regel fortlaufend 
nummeriert, einige Nummernbereiche sind Normen aus bestimmten Normungs- 
organisationen vorbehalten. 

- 2017-06: Auf die Normnummer folgt nach einem Doppelpunkt das Ausgabejahr 
sowie der Kalendermonat der aktuellen Fassung. 

- Die Kombination DIN EN ISO/IEC (auch als Normnummer bezeichnet) bedeutet, 
dass es sich um eine deutsche Norm handelt, die auf Grundlage einer europäi- 
schen Norm erstellt wurde und diese wiederum auf einer internationalen Normen 
beruht. Die Normnummern zeigen den Ursprung der Norm. Zum Beispiel zeigt 
DIN CWA, dass es sich um die Übernahme einer europäischen Spezifikation (CEN 
Workshop Agreement) handelt. DIN ISO weist auf die Übernahme einer ISO Norm 
hin. DIN VDE sind Normen mit Themen der Elektrotechnik, Elektronik oder In- 
formationstechnik und werden gemeinsam von DIN und VDE durch die DKE be- 
arbeitet. VDE ist der Verband der Elektrotechnik Elektronik Informationstechnik 
e. V. Die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in 
DIN und VDE wird als Organisation vom VDE getragen. Die DKE ist gleichzeig ein 
Geschäftsbereich der DKE und ein Normenausschuss im DIN. 


2.3 International Classification for Standards (ICS) 


Normen werden nach einem internationalen Klassifikationssystem, dem Internatio- 
nal Classification for Standards (ICS) gegliedert. Die ICS-Klassifikation wird auf dem 
Deckblatt einer Norm angezeigt, ist aber nicht im Benennungssystem zu sehen. Da 
Normendatenbanken das ICS-System als Grundlage zur Klassifizierung nutzen, soll 
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das System kurz vorgestellt werden. ICS ist eine hierarchisch aufgebaute Klassifikation 
mit drei Ebenen. Die jeweiligen Ebenen sind in Form von Ziffern dargestellt. Die erste 
Ebene hat eine zweistellige Ziffer. Z. B. steht die ICS Klassifikation 33 für „Telekommu- 
nikation, Audiotechnik, Videotechnik“, die Unterklasse 33.020 für „Telekommunika- 
tion im Allgemeinen“ und die Unterklasse 33.120.20 für „Drähte, Symmetrische Lei- 
tungen, Geschirmte Leitungen.“ Derzeit gibt es 40 zweistellige Oberklassen (von 01 
„Allgemeines. Terminologie. Normung. Dokumentation“ bis 97 „Private und kommer- 
zielle Hauswirtschaft, Unterhaltung, Sport“). Die komplette ICS-Klassifizierung steht 
kostenfrei auf der ISO-Seite als PDF-Datei zum Download zur Verfügung (ISO 2015). 


2.4 Recherche-Tools für Normen 


Um relevante Standards oder Normen zu finden, stehen verschiedene Recherche-Tools 
zur Verfügung. Zum einen bieten die nationalen, europäischen und internationalen 
Normungsorganisationen Recherche-Tools auf ihren Webseiten an. Neben Normen 
können dort auch die technischen Komitees recherchiert werden. Zum anderen fassen 
spezielle Normendatenbanken wie Perinorm technische Regeln, Normen, Standards 
und andere Spezifikationen zusammen. Im Folgenden werden diese Recherche-Tools 
vorgestellt. 

Tabelle 2.1 listet die Links zu den Recherche-Tools der Normungsorganisationen 
auf. Für die Recherche nach DIN-Normen ist die Website des Beuth Verlags dierelevan- 
te Adresse. Die Website des Beuth Verlags bietet neben der einfachen Normensuche 
weitere Features. Der „Normen-Ticker“ informiert registrierte Nutzer über den Gültig- 
keitsstatus von Normen und technischen Regeln. Ebenso können historische Doku- 
mente, d.h. zurückgezogene Normen recherchiert werden. Nach einer Registrierung 
können die Volltexte der DIN SPECs kostenlos heruntergeladen werden. Die erweiterte 
Suche des Beuth Verlags erlaubt zudem die Recherche nach anderen nationalen Nor- 
men wie z.B. nach französischen und amerikanischen Normen sowie europäischen 
und internationalen Normen. Kostenpflichtige Volltexte können über den Webshop 
bezogen werden. 

Das Recherche-Tool von CEN erlaubt die Recherche nach europäischen Normen 
und anderen Produkten, wie z.B. CWAs. Über eine Suchmaske können Stichworte 
eingegeben werden. Das Recherche-Tool erlaubt ebenfalls die Suche nach Normen in 
bestimmten ICS-Klassifikationen oder Wirtschaftsbereichen. In den Suchergebnissen 
wird dem Nutzer das jeweilige technische Komitee angezeigt, durch das die Norm erar- 
beitet wurde. Wird eine europäische Norm in einer europäischen Richtlinie genannt 
und erhält damit quasi verpflichtenden Status, wird im Suchergebnis die Richtlinie 
angezeigt. Volltexte können über die CEN-Seite nicht erworben werden. Das Recher- 
che-Tool steht dazu lediglich in englischer Sprache zur Verfügung. 

Das Recherche-Tool von CENELEC istähnlich aufgebaut wie das Tool vonCEN, ver- 
fügt jedoch über einige zusätzliche Features. Die Eingabemaske ermöglicht die Suche 
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Tab. 2.1: Normenrecherche-Tools von Normungsorganisationen (Quelle: Eigene Darstellung). 


Normungsorganisation Website Recherche Tool 

National 

DIN - Deutsches Institut für Normung www.din.de https://www.beuth.de/de 

e.V. 

DKE - Kommission Elektrotechnik www.dke.de https: //www.beuth.de/de 

Elektronik Informationstechnik im DIN 

und VDE 

Europäisch 

CEN - Europäisches Komitee für www.cen.eu https: //standards.cen.eu/ 

Normung 

CENELEC - Europäische Komitee fiir www.cenelec.eu https://www.cenelec.eu/dyn/www/f? 

elektrotechnische Normung p=104:105:3109594195593201:::: 
FSP_LANG_ID:25 

ETSI - European Telecommunications www.etsi.org http: //www.etsi.org/standards-search 


Standards Institute 


International 


ISO - International Organization for www.iso.org https: //www.iso.org/search.html 
Standardization 

IEC - International Electrotechnical www.iec.ch https: //webstore.iec.ch/ 
Commission 

ITU - International Telecommunication www.itu.int https: //www.itu.int/itu- 

Union t/recommendations/index.aspx 


nach Stichworten, ganzen Sätzen und die Option, bestimmte Stichwörter auszuschlie- 
ßen. Normen können nach ICS- und Wirtschaftsklassifikation gesucht werden. Zudem 
erlaubt die Suche die Auflistung aller Normen, die in einer bestimmten europäischen 
Direktive genannt werden. 

Das European Telecommunications Standards Institute (ETSI) bietet ein Recher- 
che-Tool für Telekommunikationsstandards an. Auf der Seite „Search and Browse 
Standards“ können Nutzer Stichwörter in eine Maske eingeben oder verschiedene 
Cluster („Better Living with ICT“, „Interoperability“) auswählen. In der Ergebnisan- 
zeige können die Nutzer anschließend die Ergebnisliste filtern, u. a. nach Erstellungs- 
datum, typischen Stichwörtern („5G“), Standard-Typen (ETSI Standard, ETSI Guides) 
und technischen Komitees. Das Recherche-Tool bietet neben dem technischen Komi- 
tee weitere Informationen über die Hintergründe und Entstehungsgeschichte eines 
Standards an. Diese reichen vom Anwendungsgebiet iiber den Standard unterstiit- 
zende Unternehmen bis zum Namen des technischen Leiters des Gremiums. In der 
erweiterten Suche („Advanced Search“) stehen noch weitere Filter (Umweltaspekte, 
Verbraucheraspekte) zur Verfügung. ETSI-Standards aus der Ergebnisliste können als 
PDF- und Word-Dateien kostenfrei heruntergeladen werden. 
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Die internationalen Normungsinstitute ISO, IEC und ITU bieten ebenfalls Recher- 
che-Tools auf ihren Websites an. Bei ISO sind zwei Suchervarianten in englischer 
Sprache möglich. In der einfachen Suche können die Nutzer neben Normen auch 
nach „Pages“, (Websites of der ISO Homepage), „News“, (normenbezogenen Nach- 
richten), „Publications“ (kostenfreie Publikationen mit Hintergrundinformationen zu 
bestimmten Normen von ISO) und „Documents“ (sonstige kostfreie ISO Dokumente) 
filtern. Im Bereich der erweiterten Suche können die Benutzer in einer Maske di- 
rekt nach der Normennummer („ISO number“) suchen. Bestimmte Schlüsselbegriffe 
(„Keywords“) können ebenso als Suchkriterium angegeben werden. Die Suche lässt 
sich über die ICS-Nummer, ISO-Komitees, Sprache und Datum weiter einschränken. 
Benutzer können über den verlinkten Webstore die Normen als PDF erwerben. Der 
Kauf von IEC Normen als PDF oder in Papierform ist möglich. Ähnlich wie ISO bietet 
IEC Suchmasken in vereinfachter und erweiterter Version an. Unter der erweiterten 
Suche bei ITU finden die Benutzer die Möglichkeit nach ITU-Standards zu suchen. 
ITU-Standards heißen dort ITU-T Recommendations (Empfehlungen). ITU-Standards 
können kostenfrei heruntergeladen werden. Davon ausgenommen sind Standards, 
die zusammen mit ISO und IEC veröffentlicht wurden. 

Neben den Recherche-Tools der Normungsorganisationen gibt es weitere kos- 
tenpflichtige Datenbanklösungen, die Informationen aus mehreren Normungsor- 
ganisationen sowie zum Teil aus der konsortialen Standardisierung vereinen. Die 
bekannteste Normendatenbank ist die Perinorm (Perinorm 2018). Die Datenbank 
durch den Beuth Verlag betreut und fasst bibliografische Normeninformationen 
von 23 Ländern sowie den europäischen Normungsorganisationen CEN, CENELC, 
ISO und IEC zusammen. Die Datenbank umfasst insgesamt 2 Mio. Dateneinträge 
zu Normen, technischen Regeln, Rechts- und Verwaltungsvorschriften mit techni- 
schem Bezug. Die Datenbankmaske stellt den Nutzern 35 verschiedene Suchfelder 
zur Verfügung. Eine Freitextsuche ermöglicht die Eingabe von Stichwörter aus dem 
Titel oder dem Abstrakt der Norm. Mit Hilfe von Ländercodes kann die Suche auf 
bestimmte Länder oder auf europäische oder internationale Normen begrenzt wer- 
den. Ebenso ist die ICS Klassifikation anwendbar. Das Feld „Internationale Überein- 
stimmung“ erlaubt den Nutzern die Harmonisierung von rein nationalen Normen 
(z.B. DIN) mit internationalen und europäischen Normen nachzuvollziehen. Bei 
europäischen Normen ist es möglich zu sehen, ob und welche EU-Richtlinie diese 
Normen zitieren und damit eine quasi rechtsverbindlichen Charakter bekommen. 
Perinorm erlaubt die Benutzung von Platzhalterzeichen. Damit können mehrere Ele- 
mente mit vergleichbaren, aber nicht identischen Daten gesucht werden. Logische 
Operatoren (UND; ODER; OHNE) ermöglichen die Verknüpfung von Suchbegrif- 
fen aus verschiedenen Suchfeldern. So können zum Beispiel nur Normen gesucht 
werden, die aktuell sind (d.h. nicht zurückgezogenen wurden) und aus einer be- 
stimmten ICS-Klasse stammen, die Wortgruppe „Internet der Dinge“ enthält aber 
nicht das Wort „Sicherheit“. Perinorm kann mit erweiterter Lizenz auch unterneh- 
menseigene Werksnormen integrieren. Damit ist Perinorm nicht nur ein Recherche- 
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Tool, sondern kann gleichzeitig auch als Normenmanagementsystem verwendet wer- 
den. 

Mit der kostenpflichtigen Plattform IPlytics können nicht nur Normen und Stan- 
dards recherchiert werden, sondern auch Verknüpfungen mit weiteren Indikatoren 
eines Innovationssystems analysiert werden (IPlytics 2018). Mit der Plattform können 
Nutzer Technologietrends und Marktentwicklungen abrufen und grafisch darstel- 
len. Auch die Beobachtung der Rechte an geistigem Eigentum von Wettbewerbern 
ist möglich. Die Datenbank enthält Informationen zu ca. 90 Mio. Patenten, 60 Mio. 
wissenschaftliche Zeitschriftenartikel, 3 Mio. Unternehmensprofile, 2 Mio. Normen 
und Standards sowie 250.000 standardessentielle Patente (SEPs). Patentinforma- 
tionen enthalten neben Patenanmeldungen auch Informationen über Patentverkäufe 
und Patentstreitigkeiten. Die Unternehmensprofile beinhalten Finanzdaten, Angaben 
zu Firmenübernahmen und -zusammenschlüsse sowie Start-Up-Gründungen. Infor- 
mationen zu Normen und Standards sind ähnlich wie in der Perinorm Datenbank 
aufgelistet, jedoch ermöglicht die IPlytics-Plattform auch die Analyse von Standards. 
Benutzer können grafisch darstellen, welche Normen zu einem bestimmten Techno- 
logiefeldern (z. B. Internet der Dinge, Car-to-X-Kommunikation) aktuell von großer 
Relevanz sind. Relevanz wird im IPlytics-Analyse-Tool u.a. gemessen durch die An- 
zahl der Normenzitate. Eine Norm ist in einem technologischen Feld umso wichtiger, 
je häufiger die Norm von anderen Normen zitiert wird. Die Relevanz einer Norm ist 
ebenfalls als hoch anzusehen, wenn sie in wissenschaftlichen Publikationen zitiert 
wird. 


2.5 Recherche-Tools für konsortiale Standards 


Die Anzahl und Struktur der konsortialen Standardisierung ist unübersichtlich und 
in ständiger Veränderung. Die Website ConsortiumInfo.org des Technologie- und An- 
waltsunternehmens Gesmer Updegrove LLP (Updegrove 2013) unternimmt einen Ver- 
such, die Konsortien zusammenzutragen, thematisch einzuordnen und auf aktuel- 
le Änderungen hinzuweisen. ConsortiumInfo.org listet derzeit (Stand Juli 2018) über 
1.100 Konsortien. Die Website wird ständig aktualisiert und Nutzer können selbst Vor- 
schläge für die Aufnahme neuer Konsortien machen. Für jedes Standardisierungs- 
konsortium bietet ConsortiumInfo.org eine Übersicht über den eigenen Tätigkeitsbe- 
reich des Konsortiums, Informationen zu Standards (auf ConsortiumInfo.org „Specifi- 
cations“ genannt) und Links zum Umgang des Konsortiums mit geistigem Figentum. 
ConsortiumInfo.org gibt Unternehmen und Personen konkrete Hilfestellung, ob es 
sich lohnt einem Konsortium beizutreten. Dafür wurde eine Art Checkliste mit Fak- 
toren entwickelt, die von den Teilnehmern in Betracht gezogen werden sollen. Die 
Faktoren im Einzelnen sind: 
- Reputation: Welche Unternehmen sind bereits Mitglieder im Konsortium bzw. 
welche Technologieanbieter fehlen? Sind bereits die „Big Player“ der Industrie in 
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einem Konsortium, ist die Wahrscheinlichkeit hoch, dass die in diesem Konsorti- 
um entwickelten Standards sich am Markt durchsetzen. 

- Offenheit des Konsortiums: Gibt es im Konsortium bereits eine Dominanz be- 
stimmter Unternehmen? In diesem Fall ist die Wahrscheinlichkeit hoch, dass 
eher wenig Einfluss auf den Inhalt der Standards genommen werden kann. 

- Personelle Ressourcen: Wie gut ist das Konsortium mit qualifiziertem Personal 
ausgestattet? Die Wahrscheinlichkeit, dass ein Konsortium mit ausschließlich 
freiwilligen Mitarbeitern scheitert ist höher als bei Konsortien mit fest angestellten 
Mitarbeitern. Ebenso ist von Bedeutung, dass die teilnehmenden Unternehmen 
regelmäßig qualifizierte Mitarbeiter zur Teilnahme in die technischen Komitees 
entsenden. 

- Starke Führungspersönlichkeiten: Der Erfolg von Konsortien hängt oft mit dem 
Engagement des Konsortiumführers zusammen. Erfolgreiche Standardkonsorti- 
en hatten in der Vergangenheit oft starke und respektierte Persönlichkeiten als 
Vorsitzende. 

- Effiziente Komiteearbeit: Ist der technische Prozess in den technischen Komitees 
effizient und angemessen schnell? 

-  Konsortiumsstrategie: Gibt es eine formulierte Strategie und einen Ausführungs- 
plan? Sind Strategie und Ausführungsplan angemessen für die Zielerreichung des 
Konsortiums? 

- Umgang mit geistigem Eigentum: Welche Rolle spielen Patente und welche Li- 
zenzpolitik wird angestrebt? Wie ist der Umgang mit Open Source? 

- Stabilität: Einige Konsortien werden gegründet, um einen einzelnen Standard zu 
erstellen, während die meisten Konsortien auf Langfristigkeit ausgerichtet wer- 
den. Unternehmen sollten in Betracht ziehen, dass zur erfolgreichen Etablierung 
von Standards auch langfristige und regelmäßige Updates gehören. 


Updegrove (2013) schlägt zur Entscheidungsfindung ein mehrstufiges System vor. Zu- 
nächst sollen Unternehmen im ersten Schritt intern unternehmensspezifische Ziele 
für die Teilnahme in einem Konsortium definieren. Dazu gehört auch, ein Budget 
aufzustellen. In einem zweiten Schritt soll ein Szenario für die Teilnahme entwi- 
ckelt werden. Dem Unternehmen muss klarwerden, welche Rolle es im Konsortium 
spielen soll. Mögliche Rollen sind beispielsweise die des Technologieführers, des 
Mitläufers oder Beobachters. Für jede mögliche Rolle sollen die Unternehmen Ziele 
definieren, die während der Teilnahme im Konsortium erreicht werden sollen. Im sel- 
ben Schritt sollen nun mögliche Alternative Standardisierungskonsortien ausgewählt 
und anhand eines Punktesystems bewertet werden. Dabei werden für verschiedene 
Faktoren (Reputation, Offenheit, Umgang mit geistigem Eigentum, Kosten der Teil- 
nahme etc.) Punkte von 1 bis 10 vergeben und ein Ranking der Alternativen erstellt. 
Anhand des Rankings wird entschieden, in welchem Konsortium sich das Unter- 
nehmen engagieren sollte. Hier soll auch in Betracht gezogen werden, dass auch 
die Neugründung eines Standardisierungskonsortiums eine Alternative darstellt. Im 
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dritten Schritt sollte nach der Auswahl des Standardisierungskonsortiums die un- 
ternehmensinterne Definition von Zielen (z. B. Förderung bestimmter Technologie, 
Beobachtung von Technologie der Wettbewerber, Verhinderung bestimmter Inhal- 
te) erfolgen, die während der Teilnahme erreicht werden sollten. Im selben Schritt 
sollte ebenfalls entschieden werden, welche Mitgliedschaftsstufe gewählt werden 
soll. Die meisten Konsortien unterscheiden verschiedene Mitgliedschaftsstufen, die 
sich durch den Einfluss auf die Standardisierung auszeichnen (z. B. Voting Member, 
Non-voting Member, Observing Member etc.). Die Mitgliedschaftsstufen haben auch 
eine Bedeutung für die Gebühren, die Konsortien in der Regel für die Mitgliedschaft 
erheben. Dabei gilt, je höher der Einfluss im Konsortium, desto höher die Gebühr. 
Typische Gebühren reichen von etwa 10.000 $ bis 60.000 $, in einigen Fällen auch 
200.000 $. Dementsprechend sollten die Unternehmen in diesem Schritt auch ein 
unternehmensspezifisches Budget für die Teilnahme an der konsortialen Standardi- 
sierung erstellen. Nach etwa zehn Monaten sollte evaluiert werden, ob die Investition 
in die Teilnahme an der konsortialen Standardisierung erfolgsversprechend war und 
den Erwartungen entsprochen hat. 

Im Vergleich zu den formellen Normungsorganisationen bieten die Recherche- 
Tools der meisten Konsortien weniger technische Möglichkeiten. Konsortien sind 
meist weit jünger und weitaus kleiner als formelle Normungsorganisationen und ent- 
wickeln weniger Standards und Spezifikationen. Dementsprechend ist dieSuchenach 
den konsortialen Standards weniger technisch ausgeprägt. Eine Ausnahme davon ist 
die Institute of Electrical and Electronics Engineers Standards Association (IEEE-SA). 
IEEE-SA ist eine globale Standardisierungsorganisation, die zum Beispiel Techno- 
logien wie Ethernet oder WLAN standardisiert hat. Das IEEE-SA Recherche-Tool hat 
ähnliche Funktionen, wie das der formellen Normungsorganisationen. In der Such- 
maske können zum einen Stichwörter gesucht werden und zum anderen über eine 
Themenliste bestimmte Technologiebereiche ausgewählt werden (von Aerospace bis 
Wireless). Die IEEE-SA Standards können im IEEE-Webshop erworben werden. Neben 
IEEE-SA sind in Tabelle 2.2 beispielhaft fünf Standardisierungskonsortien aus dem 
Bereich Internet der Dinge inklusive deren Recherche-Tools für Standards aufgeführt. 
Die Internet Engineering Task Force (IETF) ist ein Konsortium mit dem Ziel der techni- 
schen Weiterentwicklung des Internets. Die Gruppe erstellt technische Standards, vor 
allem Internetprotokollstandards und Transportprotokolle. Alle Standards und aktu- 
ellen Entwürfe sind auf der Seite RFC Editor (RFC Request for Comments) als TXT oder 
PDF-Datei verfügbar. Die Organization for the Advancement of Structured Information 
Standards (OASIS) erstellt vor allem Dokumentenstandards im E-Business-Bereich. 
Zu den bekanntesten OASIS-Standards zählt das Open Document Format (ODF). Alle 
von OASIS entwickelten Standards sind auf der OSIS-Homepage gelistet und kön- 
nen kostenfrei heruntergeladen werden. OASIS bietet zu jedem Standard zusätzliche 
Informationen an, wie beispielsweise das technische Komitee und Laisons mit ande- 
ren Standardisierungsorganisationen. oneM2M ist ein weltweit aktives Standardisie- 
rungskonsortium im Bereich der Maschine-zu-Maschine-Kommunikation und dem 
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Tab. 2.2: Recherche-Tools der konsortialen Standardisierungsorganisationen (Quelle: Eigene 
Darstellung). 


Standardisierungskonsortium Website Recherche Tool 

IEEE Standards Association http://standards.ieee.org/ http: //standards.ieee.org/ 

(IEEE-SA) findstds/index.html 

Internet Engineering Task Force https: //www.ietf.org/ http://www. rfc- 

(IETF) editor.org/standards 

Organization for the https: //www.oasis-open.org/ https://www.oasis- 

Advancement of Structured open.org/standards 

Information Standards (OASIS) 

oneM2M http://onem2m.org/ http: //onem2m.org/technical/ 
published- drafts 

World Wide Web Consortium https: //www.w3.org https://www.w3.org/TR 

(W3C) 


Internet der Dinge. oneM2M Standards thematisieren Programmierschnittstellen, 
Sicherheitslösungen und Interoperabilitat für Anwendungen und spezifische Dienst- 
leistungen wie zum Beispiel Smart Cities, Smart Grid und vernetzte Fahrzeuge. Alle 
Spezifikationen sind auf der oneM2M Seiten kostenfrei verfügbar. Das Standardisie- 
rungskonsortium W3C oder auch World Wide Web Consortium ist eines der ältesten 
Konsortien. Zu den bekanntesten W3C-Standards gehören die HTML (Hypertext Mark- 
up Language) und XML (Extensible Markup Language). Standards werden bei W3C 
Empfehlungen genannt. Die Standards sind sowohl in der Entwurfsphase als auch in 
der Endversion kostenfrei auf der W3C Seite einsehbar. 


Claudia Koch 
3 Normung fiir neue Technologien 
am Beispiel Additiver Fertigung 


3.1 Einleitung 


Die Additive Fertigung (AF) ermöglicht eine bisher nicht gekannte, weitgehende Fle- 
xibilisierung und Individualisierung der industriellen Produktion. Durch die Integra- 
tion in Smart Services und die Etablierung neuer, hybrider Geschäftsmodelle auf Ba- 
sis einer Kombination aus Produkt, Dienstleistung und IT hat sie das Potential, die 
Wertschöpfung fundamental zu verändern (Thomas et al. 2015). Seit ihrer Einführung 
in den 1980er Jahren hat die Technologie eine bemerkenswerte Entwicklung genom- 
men. Prognosen gehen davon aus, dass der Umsatz von AF-Gütern und -Dienstleis- 
tungen bis zum Jahr 2021 auf 21 Milliarden USD steigen wird (Wohlers 2014; EFI 2015). 
Dies wurde durch umfangreiche Forschung und Entwicklung ermöglicht, die zu ver- 
besserten und innovativen Prozessen und Anwendungen sowie zu immer weiter sin- 
kenden Anschaffungs- und Druckkosten führte. Als Technologie für die schnelle Fer- 
tigung von Prototypen und Modellen (Rapid Prototyping) gestartet, hat sich die AF 
zu einem Fertigungsverfahren in vielfältigen Branchen wie der Luft- und Raumfahrt, 
Automobilindustrie oder Biomedizin entwickelt. Zuletzt wurden 3D-Drucker auch für 
Endverbraucher immer interessanter (Gao 2015; Rayna und Striukova 2016). Im Zu- 
ge des Trends zur kundenindividuellen Massenproduktion und der fortschreitenden 
Digitalisierung industrieller Prozesse kann die AF wesentliche Beiträge zu einer flexi- 
bleren Produktion ohne größere Kostennachteile leisten (acatech 2016). Trotz dieser 
Aussichten und der bereits erzielten Fortschritte befindet sich die AF noch immer in 
einem frühen Reifestadium und hat sich noch nicht umfassend durchgesetzt. Eine der 
häufig genannten Barrieren ist das Fehlen von Normen und Standards, die nicht nur 
reproduzierbare und beständige Prozesse sowie Schnittstellen zur Gewährleistung ei- 
nes effizienten Produktionsprozesses und Einbindung in die Wertschöpfungskette er- 
möglichen, sondern auch die gewünschte Qualität produzierter Teile und Produkte 
und deren Qualifizierung unterstützen würden (Bourell et al. 2009; Kotrba 2015; For- 
nea und van Laere 2015; SASAM 2015). 

Die wichtige Rolle von Normen und Standards für die Entwicklung von Innova- 
tionen ist in der Forschung und Praxis anerkannt (Blind und Gauch 2009; Berman 
2012; Sherif 2001; Swann 2010; Tassey 2000). Dennoch bleibt es schwierig, den Nor- 
mungsbedarf während der Entstehung einer neuen Technologie vorherzusagen, da 
Innovationsprozesse und Standardisierung komplexe und dynamische Phänomene 
sind. Mit der zunehmenden Komplexität und schnellen Entwicklung moderner tech- 
nologischer Systeme und industrieller Prozesse steigt jedoch der Bedarf für eine zeit- 
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nahe und effiziente Standardisierung (Ho und O’Sullivan 2016). Ein tieferes Verständ- 
nis für die Dynamik zwischen Normen und Innovationen kann nicht nur strategisches 
Roadmapping für die Normung unterstützen, sondern auch die Gesamtentwicklung 
einer neuen Technologie fördern (Ho und O’Sullivan 2016; AMSC 2017). 

Dieser Beitrag diskutiert die Entwicklung von AF-Standards und -Normen vor dem 
Hintergrund der bestehenden wissenschaftlichen Theorie zur Rolle verschiedener Ar- 
ten von Normen und Standards bei der Verbreitung einer neuen Technologie (Blind 
und Gauch 2009) - und trägt damit zu einem besseren Verständnis der komplexen 
Dynamik zwischen Innovation und Normung bei. 


3.2 Theoretischer Hintergrund 


Aufstrebende Technologien wie die AF entwickeln sich über Jahre oder Jahrzehnte 
hinweg in verschiedenen Phasen, die durch ständige technologische und kommerzi- 
elle Fortschritte gekennzeichnet sind, bis sie ihr Marktpotential realisieren können 
(Ford 2014). 

Prozesse technologischer Innovation und die Entstehung von Industrien sind 
durch Komplexität und Koevolution gekennzeichnet und durch verschiedene Phasen 
und Übergänge strukturiert, die von diversen Faktoren, Ereignissen und Aktivitäten 
beeinflusst werden (Phaal 2011; Ho und O’Sullivan 2013). Wissenschaftliche Unter- 
suchungen haben gezeigt, dass verschiedene Arten von Normen und Standards in- 
nerhalb und zwischen den Phasen des Forschungs- und Innovationsprozesses unter- 
schiedliche Rollen spielen (Blind und Gauch 2009). Diese Funktionen und Strukturen 
müssen berücksichtigt werden, wenn man das Zusammenspiel von Forschung und 
Normung und die Rolle von Standards in der Entwicklung neuer Technologien wie 
der AF betrachtet. Anhand des Beispiels der AF soll in diesem Beitrag verdeutlicht 
werden, welche Rolle verschiedene Arten von Normen in verschiedenen Phasen der 
Innovation spielen und wie sie die Verbreitung neuer Technologien beeinflussen. Die 
Fallstudie zeigt die Dynamiken und Interaktionsmuster mit anderen Aktivitäten und 
Ereignissen entlang der Innovations- und Technologieentwicklung auf und liefert 
empirische Belege. 


Wissenschaftliche Rahmenmodelle zur Rolle von Normen und Standards 
für Innovationen und technologische Entwicklungen 


Die Komplexität und Dynamik des Zusammenspiels von Normen und Innovationen 
darzustellen, ist angesichts der unterschiedlichen Arten und Funktionen von Normen 
und Standards, deren ständiger Weiterentwicklung sowie Anzahl der beteiligten Ak- 
teure eine Herausforderung. Im Laufe der Zeit wurden verschiedene Konzepte entwi- 
ckelt, die sich jeweils auf spezifische Aspekte von Standards und Normen konzentrie- 
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ren (siehe Sherif 2001 und Tassey 2000). Das Modell von Blind and Gauch (2009) il- 
lustriert die unterschiedlichen Rollen verschiedener Normen innerhalb und zwischen 
den Phasen des Forschungsprozesses, von der reinen Grundlagenforschung bis zur 
Marktdiffusion. Es stellt die Funktionen und die Bedeutung von Terminologie-, Prüf-, 
Schnittstellen-, Kompatibilitäts- und Qualitätsnormen in den verschiedenen Phasen 
des Forschungs- und Entwicklungsprozesses dar. Die Verfügbarkeit von Normen und 
Standards ist entscheidend für die weitere Entwicklung und Verbreitung einer neuen 
Technologie. Ohne rechtzeitige Normung, kann die Diffusion einer neuen Technologie 
behindert oder verlangsamt werden (Ho und O’Sullivan 2013). Am Beispiel der Nano- 
technologie veranschaulichten die Autoren die spezifische Rolle jedes Normentyps im 
Innovationsprozess dieser aufkommenden Technologie. 

Ho und O’Sullivan (2013) liefern weitere empirische Belege, indem sie die Photo- 
voltaik-Technologie untersuchen. Featherston et al. (2016) schlagen einen auf Tech- 
nologie-Roadmapping basierenden Rahmen vor, der es erlaubt, die Entwicklung 
verschiedener Arten von Normen mit anderen Innovationstätigkeiten zu verknüpfen. 
Dies ermöglicht Interdependenzen aufzuzeigen und somit die komplexe Dynamik zu 
betrachten, indem Aktivitäten in Bezug auf die Markt-, Produkt- und Technologieent- 
wicklung berücksichtigt werden. Auf diese Weise können relevante Interessenträger 
ermittelt sowie gezeigt werden, wo Normen und entsprechende Aktivitäten zur In- 
formationsverbreitung beitragen können um das gesamte Innovationssystem einer 
neuen Technologie zu unterstützen. 


Additive Fertigungstechnologien 


Die AF ist definiert als Verfahren, bei dem auf Basis eines 3D-Datenmodells durch 
Ablagern von Material schichtweise ein Bauteil aufgebaut wird (im Gegensatz zu 
abtragenden, konventionellen Methoden) (vgl. ISO/ASTM 52900). Im Laufe der Evo- 
lution dieser Technologie wurden verschiedene Synonyme verwendet, das gebräuch- 
lichste davon ist „3D-Druck“, obwohl dieser technisch gesehen nur eine Unterka- 
tegorie von AF-Prozessen ist. Die Norm ISO/ASTM 52900 definiert ferner sieben 
verschiedene Prozesskategorien, die nach Materialauswahl, Zuführung des Mate- 
rials, Schichtdicke, Oberflächenqualität, Kosten und realisierbaren Bauteilgeome- 
trien unterschieden werden können (Weber 2013). Die AF-Technologie ermöglicht 
die direkte automatisierte Fertigung von kundenindividuellen Teilen und Produk- 
ten in kleinen bis mittleren Losgrößen und somit den Übergang von der konven- 
tionellen Serienfertigung zur kundenspezifischen, bedarfsorientierten Fertigung 
(Monzön et al. 2015). Was die AF gegenüber herkömmlichen Fertigungsansätzen 
überlegen macht, ist die Fähigkeit, auch komplizierte Geometrien und Designs her- 
zustellen, wobei nur das tatsächlich benötigte Material aufgewendet wird. Dies 
führt zu einer erheblichen Reduzierung von Abfall und Kosten. Die AF-Technologie 
wird für eine Vielzahl von Anwendungen in der Maschinenbauindustrie, aber auch 
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in Medizin, Bildung, Architektur und Unterhaltung verwendet (ISO/ASTM 52900 
2015). 

Die AF befördert Geschäftsmodellinnovationen auf Basis neuer Kombinationen 
von Produkt und Dienstleistungen. Immer mehr Unternehmen bieten durch die Ver- 
knüpfung mit Smart Services innovative Leistungen für ihre Kunden. Dabei fungiert 
die AF-Technologie als physische Schnittstelle in der Transformation von klassischen 
Dienstleistungen hin zu Smart Services (Thomas et al. 2015). Auch die Umsatzzahlen 
im Kontext der AF zeigen bereits die große Bedeutung von Dienstleistungen: während 
2016 15 % der weltweiten Umsätze mit AF-Materialien und 30 % mit den Geräten selbst 
erzielt wurden, entfielen 55 % auf assoziierte Services (Roland Berger 2017). 

Die AF stellt ein komplexes System mit vielfältigen Anwendungsbereichen und 
technologischen Ansätzen dar, was seine breite Akzeptanz vor große Herausforde- 
rungen stellt. Trotz der großen Chancen und vielversprechenden Szenarien, die diese 
Technologie bietet, wurde ihre weite Verbreitung bspw. durch lange Prozesszeiten, 
hohe Kosten oder Probleme bei Reproduzierbarkeit und Zuverlässigkeit der Prozesse 
behindert (Bourell et al. 2009). Die Bereitstellung von Normen und Standards ist dabei 
eine der dringendsten Herausforderungen. 


Warum Normen für die Additive Fertigung und deren Diffusion wichtig sind 


Dass die Entwicklung von Normen und Standards für die Akzeptanz und Verbreitung 
der AF signifikant wichtig ist, ist vielfach belegt (Bourell et al. 2009; Fornea und van 
Laere 2015; SASAM 2015; Jurrens 1999; O’Sullivan und Brévignon-Dodin 2012). Inter- 
nationale, konsensorientierte Normen und Standards sollen die Kluft zwischen den 
Erkenntnissen und Fähigkeiten, die durch Forschung und Entwicklung gewonnen 
werden, und den Anforderungen für die tatsächliche Markteinführung und den weit- 
verbreiteten Einsatz von AF-Technologien überbrücken (SASAM 2015). Z.B. ist eine 
standardisierte Terminologie erforderlich, um eine gemeinsame Sprache zu finden. 
Normen helfen Nutzern bei der Bewertung der verschiedenen AF-Prozesse und unter- 
stützen somit die Entscheidung für die passende Technologie (CEN 2015). Normen und 
Standards für Materialien, Prozesse, Kalibrierung, Prüfung, Schnittstellen und Datei- 
formate sind erforderlich, um eine Integration mit Smart Services zu ermöglichen und 
die Qualität der produzierten Teile sowie Reproduzierbarkeit und Beständigkeit der 
Prozesse sicherzustellen (Gao 2015). Ohne Normen kann das gleiche digitale Design 
je nach individuellen Produktionsbedingungen (z. B. der verwendeten Maschine, der 
Person, die die Maschine bedient, oder der genauen Spezifikation des Eingangsma- 
terials) zu großen Variationen hinsichtlich der Material- und Oberflächeneigenschaf- 
ten des hergestellten Teils führen (Weber 2013). Die AF-Industrie war jedoch lange 
weitgehend von proprietären Spezifikationen von Herstellern, informellen und In- 
dustriestandards geprägt (AMSC 2017; Jurrens 1999). Benutzer folgen oft vielen Trial- 
and-Error-Iterationen, um Anforderungen an Prozesse oder Bauteil-Eigenschaften 
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optimal zu erfüllen (Gao 2015). Definierte Prozesse und Materialeigenschaften sind 
essentiell damit die AF für industrielle Anwendungen akzeptiert wird. Verschiedene 
Branchen haben zudem spezielle Anforderungen, die berücksichtigt werden müssen. 
Insbesondere in kritischen Anwendungen wie der Herstellung von Flugtriebwerken 
oder in der Medizin ist eine Normung und Standardisierung unerlässlich, da eta- 
blierte Normen und Standards die Zertifizierung der Produkte ermöglichen und zum 
Nachweis der Konformität mit gesetzlichen Anforderungen erforderlich sein können. 
Solche Anforderungen reichen von Ermüdung, Entflammbarkeit und Toxizität bis hin 
zur Prozessnachhaltigkeit. Normen und Standards für Produkte, Fertigungsprozesse 
und Materialien können die weite Anwendung von AF für diese kritischen Bereiche 
fördern (Bourell et al. 2009; SASAM 2015; Scott 2012). 


Hindernisse und Barrieren für die Normung im Bereich der Additiven Fertigung 


Die grundlegenden Technologieentwicklungen und Erfindungen der AF wurzeln in 
den 1980er und frühen 1990er Jahren. Erst im Jahr 2009 wurde das erste offizielle 
technische Komitee innerhalb eines formellen Normungsgremiums (ASTM F22) ein- 
gerichtet (Scott 2012). Mangels formeller Normen sind viele der heute verwendeten 
AF-Standards proprietär. Einzelne Unternehmen entwickeln ihre eigenen individuel- 
len Richtlinien (AMSC 2017). Die Normung steht vor zahlreichen Herausforderungen, 
die mit der Breite der möglichen Anwendungen, der Vielfalt der verwendeten Materia- 
lien und den Unterschieden in Prozessen und Technologien verbunden sind (Fornea 
und van Laere 2015; O’Sullivan und Brévignon-Dodin 2012). Diese Vielfalt steigt wei- 
ter mit der schnellen Verbreitung von AF-Technologien. Kritiker weisen ferner darauf 
hin, dass Gerätehersteller (ähnlich der Dokumentendrucker-Industrie) ein finanziel- 
les Interesse daran haben, ihre individuellen Verbrauchsmaterialien und Ersatzteile 
anzubieten, was mit der Entwicklung von konsensorientierten Normen in Konkurrenz 
stehen kann (Gao 2015). Nichtsdestotrotz wird der Bedarf an Normen, die die Verbrei- 
tung von AF vorantreiben, allgemein weltweit anerkannt und mit entsprechenden In- 
itiativen von Interessensgruppen vorangetrieben. Schon in den 1990er Jahren haben 
frühe Befürworter und Pioniere der Normung in der AF auf die Notwendigkeit kon- 
sensorientierter Normen hingewiesen, insbesondere im Hinblick auf die wachsende 
Zahl von Anwendungen, Technologien und Nutzern (Jurrens 1999). Es dauerte jedoch 
mehr als ein Jahrzehnt, bis die ersten Normen veröffentlicht wurden. 


3.3 Methodisches Vorgehen 


Um komplexe Phänomene wie die Struktur oder Reifung einer bestimmten Indus- 
trie zu verstehen, bieten sich empirische Fallstudien an, in deren Rahmen Daten 
über wichtige Ereignisse für die Entwicklung der Technologie gesammelt werden (Yin 
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2013; Suurs und Hekkert 2009). Beispiele für solche Ereignisse sind politische Maß- 
nahmen, durchgeführte Studien, Konferenzen, errichtete Anlagen usw. (Suurs und 
Hekkert 2009). Viele solcher Ereignisse und verschiedene Interessengruppen haben 
die Entwicklung und Verbreitung der AF in den letzten 30 Jahren beeinflusst. Die- 
ser Beitrag fasst verschiedene Ereignisse, Indikatoren, Meilensteine und Aktivitäten 
zusammen und analysiert die Innovationsstruktur im Hinblick auf Normung und 
Standardisierung. Der empirische Ansatz umfasst Daten zu Normung, technologi- 
scher Entwicklung, industrieller Umgebung (Markt und Anwendungen), Politik und 
Gesellschaft. Dabei werden auch Daten zu den verschiedenen Arten von Normen und 
Standards analysiert, die in den verschiedenen Phasen der technologischen Entwick- 
lung veröffentlicht wurden. Damit sollen mögliche Muster und Trends in Bezug auf 
Funktionen und Arten von Normen und Standards entlang der Entwicklung einer neu- 
en Technologie und ihrer Interaktion mit anderen Innovationsaktivitäten identifiziert 
werden. Die Untersuchung bettet sich in den methodischen Rahmen von Featherston 
et al. (2016) ein, der dabei hilft, die verschiedenen Arten von Normen und Normungs- 
aktivitäten zusammen mit wichtigen Dimensionen neuer Industriezweige in Bezug 
auf Markt-, Produkt- und Technologieentwicklung abzubilden und aufzuzeigen, wie 
Standards und damit verbundene Aktivitäten das gesamte Innovationssystem un- 
terstützen können. Dabei werden die zu standardisierenden Technologieelemente, 
die Gründe für den Bedarf nach Standards, das Timing und die Sequenz sowie die 
beteiligten Akteure untersucht (vgl. Ho und O’Sullivan 2016). In einem ersten Schritt 
wurden hierzu Daten zur Entwicklung der AF im Rahmen einer umfassenden syste- 
matischen Literaturrecherche gesammelt (einschließlich wissenschaftlicher Artikel, 
Zeitungsartikel, Websites und Veröffentlichungen von Normungsorganisationen, Be- 
rufsverbänden usw.). Darauf basierend wurde der Datensatz mit den wichtigsten 
Ereignissen und Aktivitäten in chronologischer Reihenfolge erstellt. Ein besonderer 
Schwerpunkt in diesem Schritt wurde auf Meilensteine der Normung gelegt. Anschlie- 
ßend wurden die Ereignisse gemäß Featherston et al. (2016) kategorisiert, geclustert 
sowie zeitlich und thematisch eingeordnet um Verbindungen, Abhängigkeiten und 
Dynamiken im Verlauf der Entwicklung zu identifizieren. Angereichert wird die Ana- 
lyse mit quantitativen Daten über verfügbare Normen und Standards für die AF, 
die von nationalen und internationalen Normungsorganisationen (SDOs) entwickelt 
wurden. Die Daten wurden hauptsächlich aus einer Online-Datenbank der Society 
of Manufacturing Engineers (SME) mit Normen, Spezifikationen und Richtlinien für 
den Einsatz in der AF extrahiert (Stand Juni 2018) (SME 2017). Diese Daten wurden 
zusätzlich durch Abgleich mit den in der AMSC! Standardization Roadmap erfassten 
Normen und Standards sowie Recherchen auf den Websites verschiedener nationaler 
und internationaler SDOs verifiziert und erweitert. 


1 ASMC steht für die US-amerikanische Initiative „Additive Manufacturing Standardization Collabo- 
rative“. 
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3.4 Analyse: Der Fall der Additiven Fertigung 
Entwicklungsphasen der Additiven Fertigung 


Die Grundlagen moderner AF liegen in den 1980er Jahren, in denen wichtige AF-Ver- 
fahren entwickelt wurden. Diese basieren auf Forschungsarbeiten, die in den voran- 
gegangenen Jahrzehnten erfolgten, einschließlich Fortschritten in der Computertech- 
nologie, bei Lasern, Computer Aided Design (CAD) und Computer Numeric Control 
(CNC). Forschungsanstrengungen in den 1970er Jahren lieferten den Beweis für ein 
Konzept moderner AF-Prozesse, die seit Mitte der 1980er Jahre sukzessive entwickelt 
und patentiert wurden (Weber 2013; Gibson et al. 2014). Der Entwicklungsprozess der 
AF kann in drei überlappende Phasen eingeteilt werden, die durch unterschiedliche 
Endnutzungen der Technologie bestimmt sind. Ursprünglich für das Rapid Prototy- 
ping (RP) genutzt, wurde die Technologie zunehmend zur Herstellung von Formen 
und Werkzeugen (Rapid Tooling) und schließlich Endprodukten (Rapid oder Direct 
Manufacturing) eingesetzt. Mit der Anwendung des 3D-Drucks durch den Endverbrau- 
cher selbst, ist die AF unlängst in die nächste Entwicklungsphase eingetreten (Home 
Fabrication). Der Übergang in neue Phasen wird von technologischen Verbesserun- 
gen, einschließlich Prozessen und Materialeinsatz, und den damit verbundenen sin- 
kenden Kosten beeinflusst (Guo und Leu 2013; Gibson et al. 2014). Der folgende Ab- 
schnitt untersucht die komplexe Dynamik von Innovation und Standardisierung über 
die historische Entwicklung der AF hinweg. Verschiedene signifikante Aktivitäten und 
Ereignisse, die die Evolution beeinflusst haben, werden beleuchtet und kausale Bezie- 
hungen aufgezeigt. Der Schwerpunkt liegt auf der Normung, wobei die verschiedenen 
Interessengruppen und die Rolle der Normen und Standards bei der Verbreitung der 
AF betrachtet werden. 


Rapid Prototyping 


Die ersten AF-Verfahren wurden Anfang der 1980er Jahre parallel in Japan, Frank- 
reich und den USA entwickelt. Diese basierten auf ähnlichen Konzepten, Materiali- 
en Schicht für Schicht hinzuzufügen um ein Objekt zu erzeugen. Charles Hull war 
schließlich 1984 der erste Erfinder, der erfolgreich ein Patent in diesem Kontext be- 
antragte. Er begann dann mit der Vermarktung seines Stereolithographie-Druckers, 
gründete die Firma 3D Systems und führte das erste verfügbare AF-Gerät im Jahr 1987 
ein. Carl Deckard erfand und kommerzialisierte den zweiten wichtigen AF-Prozess 
„selektives Lasersintern“ im Jahr 1986. 1989 beantragte Scott Crump ein Patent für die 
Schmelzschichtung (Fused Deposition Modeling) und gründete Stratasys, noch heute 
einer der Hauptakteure auf dem Markt (Weber 2013; Gibson et al. 2014). In den späten 
1980er und frühen 1990er Jahren wurden weitere Verfahren entwickelt und vermark- 
tet, die bis heute Kerntechnologien darstellen, bspw. der 3D-Druck, Elektronenstrahl- 
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schmelzen oder Selektives Laserschmelzen. Die verschiedenen Ansätze unterschei- 
den sich hinsichtlich der Ablagerungstechnik, der Art der verwendeten Materialien 
oder der Art ihrer Verschmelzung (acatech 2016). 

Die ersten Geräte wurden von Architekten, Künstlern und Produktdesignern ver- 
wendet, um schnell und einfach Modelle und Prototypen zu bauen (Berman 2012; Gib- 
son et al. 2014). Das Leistungsvermögen hinsichtlich der Qualität der fertigen Prototy- 
pen und der Detailgenauigkeit sowie der Komfort von RP waren zu dieser Zeit ziemlich 
begrenzt. Außerdem war das Drucken langsam, teuer, auf Kunststoffe und die Her- 
stellung kleiner Teile beschränkt. Verbesserungen in Bezug auf diese Einschränkun- 
gen förderten die breitere Anwendung von RP, wobei die US-Automobilindustrie eine 
der ersten war, die die Technologie in größerem Umfang nutzte (Rayna und Striukova 
2016; Weber 2013). 

Angesichts der wachsenden Anzahl von Nutzern wurde der Bedarf an Normen 
und Standards offensichtlich. Existierende Normen für andere Technologien sind 
nicht vollumfänglich auf AF anwendbar, für die besondere Anforderungen gelten 
(Monzön et al. 2015). Da es keine formellen Normen für RP gab, vertrauten die An- 
wender hauptsächlich auf informelle oder Industrie-Standards, „Benchmark“-Teile, 
die für bestimmte Benutzergemeinschaften entwickelt wurden, oder Spezifikationen 
für RP-Materialien (Jurrens 1999). Schließlich veranstaltete das US-Amerikanische 
National Institute for Standards and Technology (NIST) 1997 den Industrieworkshop 
„Mess- und Normungsfragen im Rapid Prototyping“ mit der Absicht, Informationen 
über die Anforderungen der Industrie in Bezug auf Normen zu sammeln und Prio- 
ritäten für zukünftige Arbeiten zu entwickeln. Trotz des allgemeinen Konsens und 
des Bewusstseins für die Bedeutung des Themas (Jurrens 1999) dauerte es über zehn 
Jahre, bis das erste formale technische Normungskomitee eingerichtet wurde. 


Rapid Tooling und Rapid Manufacturing/Direkte (digitale) Fertigung 


Um die Jahrtausendwende wurden wichtige Verbesserungen bei AF-Prozessen und 
-Materialien erzielt, die den Übergang von der reinen RP-Technologie hin zu Rapid 
Tooling und Rapid Manufacturing oder Direct (Digital) Manufacturing ermöglichten 
(Gibson et al. 2014; Weber 2013). Fortschritte wie bessere Laser und Scanner sowie ei- 
ne schnellere Schichtung erhöhten die Geschwindigkeit und Genauigkeit der Prozesse 
erheblich. Darüber hinaus verbesserten sich die Auswahl und Qualität der verfügba- 
ren Materialien deutlich. Teile können mittlerweile aus fast jedem Material gefertigt 
werden, angefangen bei Metallen, über Polymere, Keramiken bis hin zu Verbundwerk- 
stoffen. Darüber hinaus standen leistungsfähigere Software-Tools zur Verfügung und 
die Geräte wurden mit zusätzlichen Funktionen ausgestattet, wie der Möglichkeit zum 
Drucken in Farbe oder mit mehreren Materialien (Weber 2013). Der Umfang der For- 
schungsanstrengungen und technologischen Fortschritte spiegelt sich in einer expo- 
nentiell wachsenden Zahl von Patentanmeldungen ab dem Jahr 2000 wider (UK Intel- 
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lectual Property Office 2013). Auch die Anzahl der wissenschaftlichen Publikationen 
zeigt eine signifikante Steigerung von 477 im Jahr 2000 auf 1.506 Publikationen im 
Jahr 2012 (EFI 2015). 

Zusammen mit den sinkenden Kosten für Geräte und Materialien sowie dem allge- 
mein wachsenden Bewusstsein für das Potential der AF ermöglichten diese Entwick- 
lungen die Nutzung der Technologie für die Herstellung gebrauchsfertiger Erzeugnis- 
se (Berman 2012). Insbesondere in der Automobil-, Medizin- und Luftfahrtbranche 
wurde die Technologie gut angenommen (Campbell et al. 2012). Die Verbreitung der 
AF wurde weiter vorangetrieben durch Online 3D-Druck-Plattformen wie Materialise, 
Sculpteo oder Shapeways, die Objekte direkt aus vom Kunden selbst erstellten Dateien 
drucken und ausliefern (Rayna und Striukova 2016). Diese Entwicklung führte direkt 
zu einer neuen Phase in der AF. 


Home Fabrication 


Während die ersten 20 Jahre der AF dem RP und industriellen Anwendungen vorbehal- 
ten waren, hat sich seit 2005 ein ständig wachsender Verbrauchermarkt entwickelt. 
Endnutzer können jetzt ihren eigenen 3D-Drucker für die direkte Herstellung zu Hau- 
se erwerben. Diese dritte Phase der AF hat sicherlich einen Hype um den 3D-Druck 
bewirkt, ausgelöst von mehreren Faktoren. So liefen mehrere relevante Patente aus, 
bspw. das Patent für Fused Deposition Modeling, was die Gründung von RepRap, einer 
Open-Source-Hardware-Community, ermöglichte. Aufbauend auf RepRap war Maker- 
Bot (gegründet 2009) das erste Unternehmen, das erschwingliche 3D-Drucker auf den 
Markt brachte. Da Drucker und Software billiger, schneller und zuverlässiger wurden, 
verzeichnete der 3D-Druck zwischen 2007 und 2011 eine durchschnittliche jährliche 
Wachstumsrate von 346% (Rayna und Striukova 2016). Im Jahr 2011 überstiegen die 
Verkaufszahlen von Geräten für Endverbraucher erstmals die von professionellen Ge- 
räten (Weber 2013). Die Technologie befindet sich trotzdem noch in einem sehr frühen 
Stadium, die absolute Anzahl verkaufter 3D-Drucker für die Heimanwendung ist nach 
wie vor relativ gering (35.508 Einheiten im Jahr 2012), und die weitere Steigerung wird 
aufgrund der Preise und der noch geringen Reife der Technologie langsam und be- 
grenzt sein (Rayna und Striukova 2016). 

Trotz der technologischen Verbesserungen, des zunehmenden Interesses und der 
wachsenden Anwendung befindet sich die AF für die Herstellung von Endprodukten 
immer noch in einer Frühphase, vor einem weiten Weg hin zur Serienproduktions- 
technologie (Fornea und van Laere 2015). Endprodukte müssen alle Anforderungen 
konventionell hergestellter Produkte und Verfahren in Bezug auf Qualität, Haltbar- 
keit, Reproduzierbarkeit und Beständigkeit erfüllen (Gao 2015). Mit der fortschreiten- 
den Anwendung insbesondere in leistungs- und sicherheitskritischen Branchen wie 
Medizin oder Luft- und Raumfahrt ist die Bedeutung von Normen und Standards zur 
Unterstützung der Akzeptanz und Verbreitung der AF gestiegen (Campbell et al. 2012). 
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Aktivitäten in der Normung und ihre Treiber 


Obwohl die Notwendigkeit von Normen bereits Mitte der 1990er Jahre zum Ausdruck 
kam, dauerte es viele Jahre, bis deren Entwicklung begann. Der Verein Deutscher In- 
genieure (VDI) veröffentlichte als erster technische Richtlinien für die AF. Der 2003 
gegründete VDI-Fachausschuss „Rapid Prototyping“ (später umbenannt in „FA 105 
Additive Fertigung“) erarbeitete Richtlinien für Terminologie und AF-Prozesse (VDI 
3404 und VDI 3405), deren Inhalt sich zu großen Teilen heute in den internationalen 
Normen ISO/ASTM 52792 und ISO 17296-2,3,4 wiederfindet. Bis heute gewährleistet der 
VDI tiber das DIN durch seine Arbeit eine aktive Vertretung deutscher Interessen in der 
internationalen Normung (Richter und Wischmann 2016; VDI 2016). Auch in den USA 
wurden die Aktivitäten von einem Branchenverband ausgelöst: Die Society for Manu- 
facturing Engineers (SME) erkannte den dringenden Bedarfan Normen und Standards 
in der AF und begann eine Kooperation mit der amerikanischen Normungsorganisa- 
tion ASTM International, die den Ausschuss F42 für Additive Manufacturing Techno- 
logies gründete, das erste offizielle technische Komitee in einem formalen Normungs- 
institut. Durch die Zusammenarbeit beider Organisationen wurde die Beteiligung der 
AF-Gemeinschaft der SME am Normungsprozess erleichtert, was dazu beitrug, eine 
breite globale Mitgliedschaft in den Ausschuss einzubringen (SME 2009). Derzeit ar- 
beiten mehr als 550 Mitglieder aus 25 Ländern in dem Komitee, das bislang 16 eigene 
Normen veröffentlicht hat, 17 weitere sind in der Entwicklung. 

Viele Akteure und Ereignisse haben die Normung geprägt und beeinflusst, dar- 
unter Regierungsprogramme, Forschungs- und Entwicklungsinitiativen, technologi- 
sche, marktbezogene und gesellschaftliche Entwicklungen. Nachdem Regierungen 
weltweit die Bedeutung der AF für ihre Wirtschaft und deren Wettbewerbspositi- 
on erkannt haben, haben sie Forschungsprojekte implementiert und finanziert, um 
die Technologie zu fördern und ihre heimische Industrie zu unterstützen (acatech 
2016). Die Obama-Administration bspw. startete in den USA eine öffentlich-private 
Partnerschaft namens „America Makes“, die sich zu einem führenden Akteur in der 
AF-Forschung entwickelte. Diese Initiative adressierte die Notwendigkeit von Normen 
und eines koordinierten und strategischen Ansatzes in der Normung - zusammen 
mit dem Anspruch auf die Führungsrolle und Koordination durch die USA. In Zu- 
sammenarbeit mit dem American National Standards Institute (ANSI) wurde 2016 
die Additive Manufacturing Standardization Collaborative (AMSC) gegründet um die 
Entwicklung von Normen und Standards zu beschleunigen. Das AMSC hat eine Nor- 
mungs-Roadmap für AF veröffentlicht, die dabei helfen soll, Prioritäten zu setzen 
und Ressourcen zu bündeln (AMSC 2017). Eine Normungsroadmap für AF wurde 2015 
ebenfalls vom Europäischen Forschungsprojekt „Support Action for Standardization 
in Additive Manufacturing (SASAM)“ entwickelt, das von der Europäischen Kom- 
mission im Rahmenprogramm 7 (2007-2013) finanziert wurde. Auf der Grundlage 
von Meinungen, die hauptsächlich von europäischen Stakeholdern gesammelt wur- 
den, wurden in der Roadmap bestehende Normen, Lücken und Herausforderungen 
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ermittelt sowie Timing und Themen für die AF-Normung herausgearbeitet. SASAM 
betonte auch die Notwendigkeit, eine globale Reihe von Normen zu haben und dass 
ISO, ASTM und das neu eingerichtete europäische Komitee CEN/TC 438 sich bei der 
Normung abstimmen und unterstützen (SASAM 2015). Das CEN/TC 438 verfolgt kei- 
ne eigene Normungsarbeit über die von ASTM und ISO hinaus, sondern sieht seine 
Aufgabe darin, ISO-Normen in Europa nach dem Wiener Abkommen zu übernehmen 
und die Verbindung zwischen europäischen Forschungsprogrammen und Normung 
zu stärken (CEN 2015; VDE 2016). Durch die Finanzierung von AF-Projekten versu- 
chen sowohl die EU als auch Länder wie Deutschland (als ein wichtiger Akteur in 
dieser Branche) eine Technologie zu unterstützen, die die Produktion aus Niedrig- 
lohnregionen zurück nach Europa verlagern soll, um Innovationen anzuregen und 
nachhaltiges Wachstum zu schaffen (Fornea und van Laere 2015). 

Tatsächlich begannen die Normungsorganisationen, einen koordinierten, inter- 
nationalen und strategischen Ansatz zu verfolgen: ASTM und ISO (die gerade ein Ko- 
mitee für AF eingerichtet hatte) schlossen 2011 eine Kooperationsvereinbarung (PS- 
DO) über die Normungsaktivitäten beider Komitees ab (Scott 2012). Sie implementier- 
ten sukzessive Instrumente, wie einen gemeinsamen Plan für die Entwicklung von 
AF-Normen (2013) und eine AF-Normenstruktur (2016), die helfen sollen, Lücken zu 
identifizieren, modularisierte Normen zu entwickeln, die Benutzerfreundlichkeit und 
Akzeptanz der Normen zu verbessern und die Arbeit der Experten und Organisationen 
zu steuern, um so gemeinsam Roadmaps zu entwickeln, effizient eine Normenreihe zu 
erarbeiten und Doppelarbeit zu vermeiden (ISO/ASTM 2013; ASTM 2016). 

Regierungen beeinflussen die Normung nicht nur durch Finanzierung und Un- 
terstützung von Forschungs- und Entwicklungsprogrammen, sondern auch durch ih- 
re regulatorischen Anforderungen, die von Herstellern erfüllt werden müssen. Der 
Druck, Konformität zu erreichen, fördert die Notwendigkeit entsprechender, AF-spe- 
zifischer Normen. Darüber hinaus ist der Staat auch ein Nutzer der Technologie, bspw. 
insbesondere in der Verteidigung und in der Luft- und Raumfahrt, wodurch ein eige- 
nes Interesse an der Verfügbarkeit von Normen besteht. 

Durch immer mehr Forschungsaktivitäten und -investitionen von Regierungen 
und Unternehmen, wächst die Zahl der Patente seit der Jahrtausendwende rasant. 
Vor allem die Pionierunternehmen und heutigen Marktführer wie Stratasys oder 3D 
Systems sind die Haupt-Patentinhaber und treiben Innovationen voran, die zu neuen 
und verbesserten Verfahren und Anwendungen führten (Liu und Lin 2014). 

Verbesserte Technologien und sinkende Kosten haben die Akzeptanz vorange- 
trieben — aber auch die Notwendigkeit von Normen und Standards aufgezeigt, die 
erforderlich sind, um die Technologie vertrauensvoll anzuwenden und die Qualität 
und Zuverlässigkeit von Prozessen und hergestellten Teilen sicherzustellen. Die fort- 
schreitende Digitalisierung der Produktion (Industrie 4.0) treibt die Anerkennung von 
AF-Technologien weiter voran, erfordert jedoch standardisierte Schnittstellen für die 
Datenübertragung und -integration. Nur so kann eine effiziente Einbindung in intelli- 
gente Wertschöpfungsnetzwerke für eine flexible Produktion und die Erbringung da- 
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Tab. 3.1: Ausgewählte Meilensteine in der Normung für die Additive Fertigung (Quelle: Eigene 
Darstellung). 


Jahr Ereignis 


2003 Gründung des VDI TC Rapid Prototyping (heute FA 105 Additive Manufacturing) 
2009 SME und ASTM beginnen ihre Kooperation im Bereich Normung 
2009 Gründung des ASTM F42 Additive Manufacturing Technologies 


2010 DIN Arbeitsausschuss NA 145-04-01 AA „Grundlagen und Prüfverfahren“ im Fachbereich 
„Additive Fertigung“ gegründet 


2011 Gründung des ISO TC 261 Additive Manufacturing 
2011 Kooperationsvereinbarung zwischen ASTM und ISO 
2012 Start des Europäischen SASAM Projekts 


2013 ASTM und ISO intensivieren ihre Zusammenarbeit mit dem Joint Plan for AM Standards 
Development 


2015 Gründung des CEN TC 438 Additive Manufacturing 
2015 Veröffentlichung der SASAM Standardization Roadmap 
2015 Gründung des 3MF consortium (3MF Dateiformat) 


2016 Gründung der America Makes & ANSI Additive Manufacturing Standardization Collaborative 
(AMSC) 


2016 Veröffentlichung der AM Standards Structure von ASTM und ISO 
2017 Veröffentlichung der Normungsroadmap von AMSC für die Additive Fertigung 


tenbasierter Smart Services gelingen (Thomas et al. 2015). Die Anwendung durch den 
Endverbraucher, bei der andere Geräte und Technologien im Vergleich zur Industrie 
zum Einsatz kommen, erfordert ihrerseits dedizierte Normen für diesen Bereich, ins- 
besondere bspw. in Bezug auf Sicherheitsstandards. Gefahren, die mit den verwende- 
ten Materialien, Geräten und Prozessen verbunden sind, müssen in allen Bereichen 
berücksichtigt werden, wobei neue Sicherheits- und Prüfnormen erforderlich sind, die 
die spezifischen Merkmale von AF aufgreifen. 

Tabelle 3.1 fasst wesentliche Ereignisse und Aktivitäten in der Normung für die 
AF durch die wichtigsten Interessengruppen und Normungsorganisationen zusam- 
men. Der folgende Abschnitt gibt einen Überblick über die entwickelten Normen und 
Standards und die dahinterstehenden Treiber. 


Quantitative Analyse 


Bei einer umfangreichen Suche durch Websites, Datenbanken und Publikationen 
wurden insgesamt 56 spezielle AF-Normen und Richtlinien identifiziert, die weltweit 
von Normungsorganisationen veröffentlicht wurden (Stand Juni 2018). Diese Zahl 
enthält Revisionen und Normen, die später zurückgezogen wurden. Die Organisatio- 
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Abb. 3.1: Veröffentlichung von AF-Normen nach Jahr und Organisation (Quelle: Eigene Darstellung). 


nen umfassen die zuvor diskutierten SDOs (ASTM, ISO, VDI) sowie IPC, AWS, IEEE, 
SAE, ASME, DIN, AFNOR und AENOR. Die identifizierten Standards wurden in Bezug 
auf die veröffentlichende Organisation, das Veröffentlichungsjahr, das betreffende 
zu verwendende Material und den Normentyp unterteilt. Letzterer basiert auf den 
Kategorien des ASTM F42-Ausschusses (Materialien und Verfahren, Testmethoden, 
Design und Terminologie). 

Abbildung 3.1 zeigt die Entwicklung der Normen im Zeitverlauf. Es zeigt sich, dass 
die Normung im Jahr 2009 mit der ersten vom VDI veröffentlichten Richtlinie begon- 
nen hat. 2013 und 2014 wurde ein Höhepunkt in der Veröffentlichung von Normen 
erreicht nachdem die neu gegriindeten ASTM- und ISO-Komitees erste Projekte ab- 
geschlossen hatten. Zu dieser Zeit gab es auch einen Höhepunkt in der Anzahl der er- 
teilten Patente und veröffentlichten Patentanmeldungen (Liu und Lin 2014), nachdem 
Schlüsselpatente abgelaufen waren und das kommerzielle und öffentliche Interesse 
an der Technologie zusehends zugenommen hatte. Der anhaltende Trend verstärkter 
Forschungsaktivitäten und zunehmender Verbreitung in der Industrie nährte auch die 
Nachfrage nach Normen und Standards. 

Die Entwicklung der Normen für die AF folgt dabei dem wissenschaftstheore- 
tischen Modell von Blind und Gauch (2009), das den Ablauf der Normenentwick- 
lung im Forschungs- und Entwicklungsprozess beschreibt: Abbildung 3.2 illustriert, 
dass die ersten veröffentlichten Normen entsprechend Terminologienormen waren 
(VDI 3404:2009 und ASTM F2797:2012, überarbeitet und übernommen als ISO/ASTM 
52900:2015). Für neu entstehende Technologien sind diese Art Normen besonders 
wichtig, da sie ein gemeinsames Verständnis grundlegender Komponenten und 
Elemente sowie effiziente Kommunikation und Wissenstransfer in Forschung und 
Normung ermöglichen. Die Terminologie muss in frühen Phasen des Innovationszy- 
klus geklärt werden, um unterschiedliche Auffassungen bzgl. einer Technologie zu 
vermeiden (Blind und Gauch 2009). In der AF trugen diese Normen nicht nur zum 
Wissenstransfer in Forschung und Entwicklung bei, sondern auch zu einer besseren 
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Abb. 3.2: Typen veröffentlichter AF-Normen und Richtlinien (Quelle: Eigene Darstellung). 


Orientierung für die Verbraucher in Bezug auf die verschiedenen Technologien und 
Anwendungen der AF, und bauten schließlich eine Brücke zwischen Forschung und 
Entwicklung und den Märkten. Abbildung 3.2 zeigt auch einen bald beginnenden Fo- 
kus auf Material- und Prozessnormen, die ein Schlüssel zu größerer Zuverlässigkeit, 
Genauigkeit und Reproduzierbarkeit sind. Diese wurden mit zunehmender industri- 
eller Anwendung bspw. in der Luftfahrt- oder Automobilindustrie immer wichtiger. 
Nicht nur mit der Integration in eine fortschreitende Digitalisierung der Produk- 
tion im Kontext von Industrie 4.0, sondern auch mit Fortschritten in der AF-Techno- 
logie selbst (bspw. mit der Möglichkeit des Mehrfarben- oder Multi-Material-Drucks), 
nahm die Bedeutung von Interoperabilitäts- und Kompatibilitätsstandards zu. Im All- 
gemeinen sind sie für den Übergang einer neuen Technologiein den Massenmarkt von 
besonderer Bedeutung, da sie die Interoperabilität und das reibungslosen Zusammen- 
wirken zwischen Produkten oder ganzen Systemen gewährleisten (Blind und Gauch 
2009). Für die Kommunikation und Übertragung von Daten im AF-Prozess sind geeig- 
nete, umfängliche Dateiformate unerlässlich (Allen und Sriram 2000). Im Hinblick auf 
die Mängel des lange verwendeten De-facto-Standardformats STL bezüglich immer 
höherer Leistungsanforderungen (Gebhardt und Hötter 2016) wurde 2011 eine neue 
ASTM-Norm eingeführt (ASTM 2915, später übernommen als ISO/ASTM 52915:2013). 
Das darin beschriebene Dateiformat AMF wurde trotz seiner Vorteile in Bezug auf die 
Leistungsfähigkeit von der Branche - die von vielfältigen proprietären Lösungen ge- 
prägt ist - lange zurückhaltend und abwartend behandelt (Gebhardt und Hötter 2016). 
Die Schwierigkeit, einen neutralen, effizienten und leistungsfähigen Standard zu fin- 
den, ist sowohl aus technologischer als auch aus Marktsicht hoch. Viele der Informa- 
tionen und Daten liegen derzeit in herstellerspezifischen Formaten vor, die den vollen 
und offenen Wettbewerb und folglich Innovation und Entwicklung behindern (AMSC 
2017). Insofern stellt AMF einen herstellerunabhängigen Standard dar, der mittlerwei- 
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Abb. 3.3: AF-Normen entsprechend des Modells von Blind und Gauch (2009) 


le trotz des zögerlichen Starts Akzeptanz bei Herstellern und Serviceanbietern gefun- 
den und sich verbreitet hat (Bella 2015). Ein neuer Standard eines von Microsoft ge- 
führten Konsortiums (3MF) könnte aufgrund der Marktbeherrschung des Konsortiums 
weite Verbreitung finden (VDE 2016). Das Konsortium wirbt mit technischen Vortei- 
len gegenüber dem AMF-Format und damit, die gleiche reibungslose Druckerfahrung 
wie im 2D-Druck zu ermöglichen, unabhängig von der verwendeten Hard- und Soft- 
ware (Zaleski 2016). Generell haben Standardisierungskonsortien in den letzten Jah- 
ren einen Anstieg erlebt, insbesondere im IKT-Bereich (Blind und Gauch 2009; Jakobs 
2014), und es bleibt abzuwarten, ob und wie sich dieser Standard verbreiten wird. Im 
Juni 2016 vereinbarten ASTM und das 3MF-Konsortium eine Zusammenarbeit zu Da- 
teiformaten mit dem Ziel, Informationen auszutauschen und Normen gemeinsam zu 
entwickeln (3MF 2016). 

Nach dem Modell von Blind und Gauch werden Sicherheits-, Zuverlässigkeits- und 
Prüfstandards mit der Weiterentwicklung einer Technologie und deren zunehmender 
Verbreitung immer wichtiger. Dies zeigt sich auch in der AF, wo viele der laufenden 
Normungsprojekte sich mit Prüfmethoden, Qualitätskontrolle und Sicherheit beschäf- 
tigen. Diese Themen werden immer wichtiger für Hersteller, die sich mit dem Produk- 
tionsprozess und den Materialien verbundenen Gefahren auseinandersetzen müssen. 
Diese Risiken umfassen z. B. Toxizität von Emissionen in die Luft, Brand-, elektrische 
oder mechanische Gefahren (Kotrba 2015). Die Qualitätssicherung gilt als eines der 
wichtigsten Hindernisse für eine breitere Anwendung der AF, besonders bei Metall- 
anwendungen. Die Erfüllung regulatorischer Anforderungen stellt die Hersteller vor 
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große Herausforderungen: Insbesondere in Branchen wie der Medizin, der Luft- und 
Raumfahrt oder der Verteidigung, in denen kritische Komponenten hergestellt wer- 
den, müssen Ausfälle vermieden und der Produktionsprozess und die Einsatzstof- 
fe qualifiziert werden. Dies erfordert zuverlässige Qualitäts- und Prüfstandards. Die 
schiere Anzahl der Parameter, die das Ergebnis beeinflussen, erschwert es dem Nut- 
zer, die richtigen Konfigurationen zu finden. Standards können dabei helfen, die ge- 
wünschte Qualität zu erreichen, bspw. in Bezug auf die erforderliche Dichte von Teilen 
oder Oberflächeneigenschaften. Zertifizierte Materialien helfen Nutzern, die richtigen 
Kaufentscheidungen für ihre Zwecke zu treffen (Hansen 2015). Die empirischen Daten 
zeigen hier zunehmende Normungsaktivitäten in diesem Bereich mit laufenden Pro- 
jekten zu neuen Prüfmethoden (insbesondere zerstörungsfreie), Qualitätskontrolle, 
aber auch immer mehr Normen für Materialien und Prozesse. 

Abbildung 3.3 zeigt die Abfolge, in der unterschiedliche Normentypen für die AF 
über die Zeit entwickelt wurden, dargestellt am Modell von Blind und Gauch. Die Fall- 
studie verdeutlicht, dass dieses theoretische Modell somit nicht nur für die von den 
Autoren beispielhaft genutzte Nanotechnologie Gültigkeit besitzt, sondern auch für 
die AF und potentiell auch weitere neue Technologien. 

Die Entwicklung von AF-Normen zeigt auch, dass viele von ihnen im Laufe der 
Zeit überarbeitet oder zurückgezogen wurden. Egyedi und Sherif (2010) unterschei- 
den interne und externe Ursachen für solche Veränderungen. Externe Faktoren be- 
gleiten und beeinflussen eine Technologie in ihrer Entwicklung und führen wie im 
Beispiel der AF dazu, dass Terminologie-Normen aufgrund des technologischen Fort- 
schritts bzgl. Prozessen und Anwendungen mehrfach überarbeitet wurden. Auch die 
Dateiformat-Standards müssen und werden aufgrund von Änderungen in der Tech- 
nologie und neuen Leistungsanforderungen geändert werden. Wenn die Technologie 
reift, werden die Normen und Standards stabiler. 

Abbildung 3.4 zeigt, dass die Mehrzahl der bisher veröffentlichten Normen und 
Standards auf die AF allgemein anwendbar sind, ohne dass ein besonderer Fokus auf 


34 — 3 Normung fiir neue Technologien am Beispiel Additiver Fertigung 


1985 1990 2000 2010 2017 
Rapid Prototyping 
Anwendung Rapid Tooling / Rapid Manufacturing 
i] 
Home Fabricati 
Om 
Gesellschaft Maker & Open Source Bewegung «stm F292 
ASTM F3001 
ASTM F3089 
Markt Printing platforms |Astursose 
ASTM £3091 
Sinkende Kosten 


Grundlegende Erfindungen Prozess- und Materialverbesserungen 
Technologie Software-Verbesserungen 
Steigende Anzahl von Patenten und Veröffentlichungen 


Erste Patente laufen aus 
Normen 


= vol ASTM DIN ISO CEN 


SM... Material-Standard, SP... Prozess-Standard, ST... Terminologie-Standard 


Abb. 3.5: Illustration der Entwicklung der Additiven Fertigung (Quelle: Eigene Darstellung). 


ein verwendetes Material gelegt wird. Es zeigt sich jedoch auch, dass große Anstren- 
gungen in Bezug auf Normen und Standards für metallbasierte Prozesse und Materia- 
lien unternommen werden, die in industriellen Kontexten Anwendung finden (insbe- 
sondere in der Luft- und Raumfahrt, Automobil- und Verteidigungsindustrie — frühe 
Anwender der neuen Technologie, die aufgrund hoher Marktanforderungen und der 
Einhaltung von Vorschriften auf Normen und Standards angewiesen sind). 

Viele weitere Normen und Standards werden derzeit entwickelt: 66 laufende Pro- 
jekte (Stand Juni 2018) wurden identifiziert, die meisten davon in ASTM, ISO oder VDI. 
Mit dem Aufkommen von Desktop-3D-Druckern für Endnutzer ist der Bedarf an Nor- 
men und Standards für diesen Bereich gestiegen. IEEE entwickelt derzeit einen dedi- 
zierten Standard für Consumer-3D-Druck (IEEE P3030). Es zeigt sich auch, dass immer 
mehr Standards für spezifische Anwendungen entwickelt werden, wie bspw. der medi- 
zinische 3D-Druck oder gedruckte Elektronik, aber auch eine wachsende Anzahl von 
Standards für Qualität und Sicherheit. Abbildung 3.5 veranschaulicht das Innovati- 
onssystem der AF, basierend auf dem Rahmenmodell von Featherston et al. (2016). 
Wichtige Entwicklungen und Aktivitäten von Innovation und Standardisierung wer- 
den zusammen mit ihren Wechselbeziehungen visualisiert, um ihre komplexe Dyna- 
mik abzubilden. Obwohl für eine bessere Lesbarkeit nur auf Terminologie-, Kompa- 
tibilitäts-, Prozess- und Materialnormen beschränkt, zeigt die Abbildung dennoch, 
wie Normen und Standards Innovationsaktivitäten und die Verbreitung der Technolo- 
gie entlang ihrer allgemeinen Entwicklung unterstützen, indem Wissenstransfer und 
Kommunikation erleichtert werden. 
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Unter Berücksichtigung theoretischer Modelle für Normung und Innovation wurden 
das gesamte Innovationsökosystem der AF und die Verbindungen zur Normung syste- 
matisch beschrieben und analysiert. Die Analyse der Normungsaktivitäten umfasste 
die zu normenden Technologieelemente, die Gründe für den Normenbedarf, den zeit- 
lichen Ablauf und die Reihenfolge sowie die beteiligten Akteure. Dies istinsbesondere 
angesichts der Komplexität der Technologie mit diversen Prozessen und Anwendun- 
gen in verschiedenen Reifegraden nicht trivial. Daraus können einige Lehren für die 
Normung und Standardisierung in neuen Technologien gezogen werden. 

Akteure und Freignisse aus Politik, Markt, Gesellschaft, Forschung und Technolo- 
gie haben die Entwicklung der AF und seiner Einführung geprägt — auch in Bezug auf 
die Normungsaktivitäten und -ergebnisse. Mit technologischen Fortschritten, neuen 
Anwendungen und einer Sensibilisierung für das Potential der AF wuchs die Nutzer- 
basis ebenso wie der Bedarf an Normen und Standards zur Gewährleistung von Zuver- 
lässigkeit, Reproduzierbarkeit, Sicherheit und Konformität mit regulatorischen Anfor- 
derungen. Nachdem lange Zeit kaum Normen existierten, wird zwischenzeitlich welt- 
weit ein koordinierter strategischer Ansatz verschiedener Normungsorganisationen 
verfolgt, um eine effiziente Normung durch kooperative Vereinbarungen, Roadmaps 
und gemeinsame Aktionspläne zu ermöglichen. Die Fallstudie zeigt einmal mehr, dass 
Normen für die Verbreitung neuer Technologien eine wichtige Rolle spielen, und wie 
verschiedene Arten von Normen in den Phasen der Innovation unterschiedliche Funk- 
tionen haben (Blind und Gauch 2009). 

Die Entwicklung verschiedener Arten von Normen und Standards im Laufe der 
Zeit folgt dabei dem wissenschaftstheoretischen Modell von Blind and Gauch (2009), 
wobei Terminologienormen, die eine bessere Kommunikation und Anleitung entlang 
der verschiedenen technischen Ansätze und Anwendungen ermöglichen, als erste ver- 
öffentlicht wurden. Sie schaffen Ordnung und Orientierung in dem heterogenen Tech- 
nologie- und Anwendungsfeld der AF. Eine frühere Verfügbarkeit dieser Art von Nor- 
men hätte somit nicht nur weitere Standardisierungsaktivitäten angestoßen, sondern 
letztlich auch eine schnellere Verbreitung unterstützt. Mit der Verbreitung in indus- 
triellen Kontexten aufgrund von technologischen Fortschritten wurde dann zuneh- 
mend ein Fokus auf Normen und Standards für Prozesse und Materialien gelegt, die 
erforderlich sind um Reproduzierbarkeit und Zuverlässigkeit zu gewährleisten. Dies 
istbesonders wichtig für industrielle Metallanwendungen, bei denen Fehler im Druck- 
prozess besonders teuer sind. Laufende Standardisierungsprojekte spiegeln den Be- 
darf an Prüf- und Qualitätsnormen wider, die für die weite Verbreitung einer neuen 
Technologie typisch und nötig sind. Darüber hinaus werden neue Anwendungsbe- 
reiche mit unterschiedlichen Anforderungen wie Medizin oder Luft- und Raumfahrt 
zunehmend mit gezielten Normungsprojekten adressiert. Begleitet von Anstrengun- 
gen, die Normung international abzustimmen und kooperativ zu verfolgen, werden 
strategische Hilfsmittel wie Gap-Analysen, Roadmaps und Normen-Strukturen imple- 
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mentiert und schrittweise mehr und mehr Normen entwickelt. Das Modell von Blind 
und Gauch wurde auf der Grundlage von Daten aus der Nanotechnologie entwickelt, 
istjedoch auch für die AF anwendbar, als eine weitere aufkommende Technologie wie 
diese Fallstudie zeigt. Aus den Erfahrungen in der AF, aber auch aus den Fällen der 
Nanotechnologie oder der Photovoltaik (Blind und Gauch 2009; Ho und O’Sullivan 
2013), zeigt sich deutlich, dass eine systematische, umfassende Normungs- und Stan- 
dardisierungsstrategie von Beginn an, die Verbreitung neuer Technologien wesentlich 
unterstützt. Die Entwicklung von Normen und Standards kann jedoch nicht von der 
allgemeinen Entwicklung des Innovationssystems getrennt betrachtet werden, son- 
dern weist Wechselwirkungen und Abhängigkeiten zu anderen Aktivitäten verschie- 
dener Interessengruppen auf. Dies erfordert eine intensive und zielgerichtete Zusam- 
menarbeit der Akteure und die Abstimmung mit allen relevanten Dimensionen des In- 
novationssystems der entstehenden Technologie. Mit diesen Erkenntnissen über den 
Standardisierungsbedarf entlang der Innovationsphasen einer aufkommenden Tech- 
nologie kann ein effektiveres und systematischeres strategisches Roadmapping unter- 
stützt werden, das die vielfältigen Interessengruppen und die komplexe Dynamik des 
Technologie-Innovationssystems berücksichtigt und die richtigen Maßnahmen und 
Praktiken ableitet (Ho und O’Sullivan 2016). Dies kann zu einem kohärenteren und 
koordinierteren Ansatz führen, nicht nur in Bezug auf die Normung, sondern auch 
auf die Gesamtentwicklung der entstehenden Technologie (AMSC 2017). 


Thomas Schulz 
4 Referenzarchitektur und 
Industrie-4.0-Komponente 


4.1 Vorwort 


Unsere Welt befindet sich in einem digitalen Umbruch, der alle Bereiche der Industrie 
durchdringen und verandern wird. Dabei steht der Begriff Industrie 4.0 fiir die vierte 
industrielle Revolution - einer neuen Etappe der gesteuerten Organisation vollständi- 
ger Wertschöpfungsketten, verteilt über den gesamten Lebenszyklus eines Produkts. 
Eine der Grundvorrausetzungen für den Erfolg der digitalen Transformation ist die 
Interaktion technischer Gegenstände untereinander sowie der Anwendungsintegra- 
tion von cloudbasierten Plattformen. Die digitale Transformation erfordert eine kon- 
sequente Vernetzung mit den Möglichkeiten der virtuellen Repräsentation der realen 
Welt. 

Voraussetzung für das erfolgreiche Zusammenarbeiten technischer Gegenstände 
ist die Interoperabilität der interagierenden Komponenten. Dafür sind Normen und 
Standards notwendig, die sowohl ein gemeinsames Verständnis der auszutauschen- 
den Daten als auch die Regeln der Interaktion vereinbaren. Für die global agieren- 
de und exportorientierte deutsche Industrie ist die Festlegung von technischen An- 
forderungen in den global gültigen Normungssystemen von besonderer Bedeutung. 
International harmonisierte Normen fördern den grenzüberschreitenden Handel und 
tragen dazu bei, dass die deutsche Industrie von der Globalisierung profitiert. Ziel für 
die Industrie ist es, Schritt für Schritt alle für die einheitliche technische Funktion und 
Anwendbarkeit wesentlichen Festlegungen in internationalen Normen zu verankern. 
Die relevanten Ziel-Normungsorganisationen sind hierinsbesondere die International 
Organization for Standardization (ISO) und die International Electrotechnical Com- 
mission (IEC). 


4.2 Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) 


Kundenspezifisch angebotene internetbasierte intelligente Dienstleistungen werden 
für Unternehmen immer wichtiger. Diese smarten Dienste (Smart Services) erfordern 
digitale Infrastrukturen und darauf aufbauende Dienstleistungen, die kombiniert zu 
neuen Wertschöpfungsketten angeordnet werden können. Für die Realisierung der 
digitalen Transformation in Form von intelligenten Produkten, ergebnisorientierten 
Dienstleistungen und wandlungsfähiger Produktion muss eine Referenzarchitektur 
für Industrie 4.0 berücksichtigt werden (itsOWL 2015). Referenzarchitekturen existie- 
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ren bereits in verschieden IT-Branchen. Das Von-Neumann-Modell ist zum Beispiel ist 
eine Referenzarchitektur fiir Computer (Neumann 1947) und das ISO/OSI Modell fiir 
Netzwerkprotokolle (ISO/IEC 1994). Gemeinsam haben alle Referenzmodelle, dass sie 
allgemeingültige aber individuell ausprägbare Komponenten auf Basis einheitlicher 
Standards definieren. 

Das Referenzarchitekturmodell Industrie 4.0 (RAMI4.0) und die Industrie-4.0- 
Komponente bilden die Kernbausteine von Industrie 4.0. RAMI4.0 und Industrie-4.0- 
Komponente bilden zusammen die Grundlage zur Entwicklung vernetzter Produkte 
und auf Smart Services basierende neue Geschäftsmodellen (VDMA, ZVEI, Bitkom 
2015). Die Grundidee des funktionalen Aufbaus vom Referenzarchitekturmodell In- 
dustrie 4.0 (RAMI4.0) basiert auf dem Smart Grid Architecture Model (SGAM) welches 
der Visualisierung und Validierung beim Aufbau von Smart-Grid-Projekten dient 
(CEN, CENELEC, ETSI 2012). Im breiten Umfeld industrieller Anwendungen existie- 
ren bereits unterschiedliche heterogene Softwarewerkzeuge, partielle Modelle und 
autonom agierende Lösungsansätze. Zur vollständigen horizontalen und vertika- 
len Integration der Wertschöpfungsketten sowie zur Sicherung eines durchgängigen 
Datenflusses innerhalb der Prozessketten ist es notwendig, die gesamte Systemumge- 
bung basierend auf weltweit anerkannten Normen und Standards allumfänglich zu 
beschreiben. Daraus ergibt sich als eine der zentralen Aufgaben dieses Zukunftsthe- 
mas, die Notwendigkeit zur Entwicklung eines Referenzarchitekturmodells für Indus- 
trie -4.0-Anwendungen, um unterschiedliche Lösungen zu vereinheitlichen und Silos 
zu vermeiden. Dazu wurde im September 2015 von Mitgliedern der Plattform Industrie 
4.0 das Projekt DIN SPEC 91345 Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) 
initiiert und ins Leben gerufen. Bereits im April 2016 konnte der technische Bericht 
veröffentlicht werden (DIN SPEC 91345 2016). Um den Prozess der internationalen An- 
erkennung und Verbreitung zu beschleunigen, wurde das Konzept zwischenzeitlich 
als Publicly Available Specifications (PAS) auch von der IEC veröffentlicht (IEC 2017). 

Das Referenzarchitekturmodell Industrie 4.0 sichert die Interoperabilität im An- 
wendungsfall durch eine schlüssige und vollständige Beschreibung des gesamten 
Lösungsraumes technischer Assets von ihrer Entwicklung, der Produktion über die 
Nutzung und Wartung bis hin zur Herausnahme aus dem Markt. Einer der grundle- 
genden Gedanken zur Referenzarchitektur von Industrie 4.0 ist das Zusammenführen 
unterschiedlichster Aspekte in einem gemeinsamen Modell. Wichtige Aspekte sind 
die horizontale Integration über Wertschöpfungsnetzwerke, die über den einzelnen 
Standort hinausgeht und erst die dynamische Bildung von Wertschöpfungsnetzwer- 
ken ermöglicht. Dieses beinhaltet auch die Einbeziehung von Produkten wie beispiels- 
weise Halbzeuge und Werkstücke, aber auch Produktionsmittel. Ein durchgängiges 
Engineering mit konsistenter Datenhaltung der technischen und administrativen In- 
formationen und ihrem zeitnahen Zugriff über die ganze Wertschöpfungskette hinweg 
wird dadurch erforderlich. 

Das Referenzarchitekturmodell Industrie 4.0 dient der Orientierung zur systema- 
tischen Herangehensweise von Projekten und Anwendungsfällen und ist für die er- 
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Abb. 4.1: Referenzarchitekturmodell Industrie 4.0 (RAMI4.0) (Quelle: DIN SPEC 91345 (2016)). 


folgreiche Umsetzung von Industrie 4.0 in verschiedenen Unternehmen und unter- 
schiedlichen Branchen notwendig. Sichtweisen aus den unterschiedlichen Anwen- 
dungsdomänen wurden integriert, auf das Wesentliche reduziert und in einem ge- 
meinsamen Modell zu vereint. Eine Referenzarchitektur beschreibt die Struktur eines 
Systems mit seinen Elementtypen, deren Strukturen und Interaktionstypen unterein- 
ander und mit ihrer Umgebung. Grundlegende Konzepte oder Eigenschaften werden 
definiert und bilden zusammen mit seinen Komponenten und deren Zusammenspiel 
den Rahmen für die Entwicklung, Strukturierung und Einordung relevanter techni- 
scher Systeme. 

Wie in Abbildung 4.1 dargestellt ist RAMI 4.0 ein dreidimensionales Referenzar- 
chitekturmodell zur Darstellung des Industrie-4.0-Lösungsraumes. Darin können An- 
wendungsfälle sowie deren Normen und Standards in den drei Achsen Produktle- 
benszyklus, funktionale Hierarchie und Architekturhierarchie verortet werden. Ent- 
lang dieser festgelegten Achsen können so alle relevanten Informationen und Aspek- 
te eines Industrie-4.0-Systems klar strukturiert, eindeutig festgelegt und transparent 
dargestellt werden. 

Auf der rechten horizontalen Achse ist die Architekturhierarchie abgebildet. Sie 
dient der funktionalen Einordnung eines Anwendungsfalls in die formale Struktur 
technischer Assets. Im Einzelnen sind das die Produkte die Betriebsmittel, gegliedert 
in ihre unterschiedlichen Funktionalitäten innerhalb einer Fabrik, sowie die mitein- 
ander vernetzte Welt außerhalb der Fabrik. 

Auf der linken horizontalen Achse ist die Zeitachse des Lebenszyklus abgebildet. 
Die Eigenschaften eines technischen Assets können also je nach Phase des Lebenszy- 
klus unterschiedlich sein. Eine Instanz ist vergleichbar mit einer Kopie des deklarier- 
ten Typs für einen speziellen Anwendungsfall mit spezifischen funktionellen Anfor- 
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derungen. Mit Beginn der Fertigung eines Produkts werden dem digitalen Typ bei der 
Instanzdeklaration funktionale Eigenschaften zugewiesen. 

Auf der vertikalen Achse wird die funktionale Hierarchie eines technischen Assets 
abgebildet. Uber der eigentlichen Asset-Schicht befindet sich zur Umsetzung einer vir- 
tuellen Repräsentation die Integrationsschicht. Sie sichert den Zugriff der Informati- 
onssysteme auf die Eigenschaften der physischen Assets. Die Kommunikationsschicht 
enthält Protokolle zur Übertragung von Daten und dient als Bindeglied zwischen der 
Integrationsschicht und Informationsschicht. Die Informationsschicht beinhaltet ei- 
ne Beschreibung aller notwendigen funktionsbezogenen Daten und Dienste von tech- 
nischen Assets sowie die Semantik als gemeinsame Sprache und ist damit Quelle und 
Ziel der zu übermittelnden Daten. Die Funktionsschicht enthält alle formal beschrie- 
benen Funktionen und in der Geschäftsschicht ist der relevante Geschäftsprozess ab- 
gebildet. 

Das Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) beschreibt die wesent- 
lichen Elemente eines technischen Gegenstandes mittels eines dreidimensionalen 
Schichtenmodells. Der Nutzen eines Referenzarchitekturmodells besteht in der 
- Einordnung der Assets des Produktionsszenarios 
- Positionierung innerhalb der Referenzarchitektur 
- Erkennung von Zusammenhängen Vereinfachung durch Aufteilung 
- Einordnung von bestehenden Technologien 
-  Verortung relevanter Standards und Normen 
- Kommunikation mit Partnern durch gemeinsame Terminologie 


Die Funktionsweise des RAMI 4.0 kann vereinfacht anhand eines Baumarktes gut er- 
klärt werden. Der Baumarkt hat sich auf Materialien für Heimwerker spezialisiert und 
sortiert seine verschiedenen Produktgruppen wie beispielsweise Werkzeuge und Nä- 
gel, Farben und Tapeten, Holz und Baustoffe in unterschiedlichen Gängen und Re- 
galen. Je nach Anforderungsfall entnimmt der Kunde dann die für das individuelle 
Projekt benötigten Produkte aus den einzelnen Regalen in den Gängen und stellt sich 
so individuell seinen Warenkorb zusammen. Analog funktioniert die Zuordnung ei- 
nes technischen Assets und der benötigten Standards zu den drei Achsen im Einzel- 
nen, individuellen Industrie-4.0-Anwendungsfall. Je nach Verortung im dreidimen- 
sionalen Raum des RAMI 4.0 wird die Umgrenzung des Anwendungsfalles als Aus- 
gangspunkt für darauf aufbauende Fachmodelle und Normen beschrieben (DIN/DKE 
2018). 


Industrie-4.0-Komponente 
Ein weiteres wichtiges Element ist die generische Beschreibung des Modells der Indus- 


trie-4.0-Komponente. Die Industrie-4.0-Komponente stellt eine Spezialisierung eines 
cyber-physischen Systems dar und beschreibt wie aus einem realen technischen As- 
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Abb. 4.2: Industrie-4.0-Komponente als 
notwendige Verbindung von Asset und 
Verwaltungsschale (Quelle: DIN SPEC 91345 
(2016)). 


set mittels einer virtuellen Verwaltungsschale eine weltweit eindeutig identifizierbare 
und kommunikationsfähige Industrie-4.0-Komponente wird. 

Abbildung 4.2 verdeutlicht, dass die Verwaltungsschale eine virtuelle digitale 
und aktive Repräsentanz eines Assets in einem Industrie-4.0-System ist. Die Verwal- 
tungsschale und ihre Objekte können innerhalb eines der Assets als eingebettetes 
System enthalten sein oder aber in ein oder mehrere übergeordnete IT-Systeme ver- 
teilt werden. Sie enthält das Manifest und den Komponenten-Manager. Das Manifest 
ist ein eindeutig aufzufindendes Inhaltsverzeichnis mit allen Informationen, Daten 
und Funktionen der Verwaltungsschale. Der Komponenten-Manager organisiert die 
Adressierung und Identifikation und sichert die Verbindung zu den IT-technischen 
Diensten der Industrie-4.0-Komponente. 

Eine Industrie-4.0-Komponente umfasst aus logischer Sicht einen oder mehrere 
Gegenstände und eine Verwaltungsschale. Das Konzept sieht vor, dass eine Indus- 
trie-4.0-Komponente andere Komponenten logisch umfassen, als Einheit agieren und 
für ein übergeordnetes System logisch abstrahieren kann. Es ist dadurch möglich, 
dass einer Industrie-4.0-Komponente (z.B. einer ganzen Maschine) andere Indus- 
trie-4.0-Komponenten logisch zugeordnet werden (z. B. Bauteile wie Antriebe, Steue- 
rungen oder Bediengeräte), sodass sich eine (temporäre) Schachtelung ergibt. 

Der Zustand einer Industrie-4.0-Komponente ist von anderen Teilnehmern einer 
Industrie-4.0-konformen Kommunikation immer abrufbar. Die Verwaltungsschale ist 
das Interface zwischen der Industrie-4.0-Kommunikation und dem Asset und folgt ei- 
nem definierten Zustandsmodell. Sie ist im Netzwerk eindeutig identifizierbar und 
ihre physischen Gegenstände werden mittels eindeutiger Identifizierungsmerkmale 
identifiziert. 


Verwaltungsschale 


Die Verwaltungsschale ist der Datenspeicher aller Informationen zum Asset, wie bei- 
spielsweise Konstruktionsdaten, Betriebsanleitungen oder Handbücher. Eine Vielzahl 
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Industrie 4.0-konforme Kommunikation 
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dieser Informationen wird von den Herstellern bereitgestellt. Diese können wiederum 
von Dienstleistern oder Betreibern von Maschinen, Anlagen und Fabriken um wichti- 
ge weitere Informationen, zum Beispiel solche zur Wartung oder Verschaltung mit an- 
deren Hard- und Softwarekomponenten, ergänzt werden. Außerdem stellt die Verwal- 
tungsschale zusätzliche Funktionen bereit. Diese umfassen beispielsweise Planung, 
Projektierung, Konfiguration, Bedienung, Wartung und komplexe Funktionen der Ge- 
schäftslogik. Eine Abbildung von mehreren Gegenständen am Beispiel einer speicher- 
programmierbaren Steuerung (SPS) illustriert Abbildung 4.3. Die Verwaltungsschale 
fungiert als Datenbank über den gesamten Produktlebenszyklus eines Assets. 

Die Verwaltungsschale enthält mindestens die Verwaltungsschalen-Verwaltung 
in Form des Komponenten-Managers und des Manifests und setzt sich aus Header und 
Body zusammen. Der Header trägt Informationen zur Identifikation und Bezeichnung 
des konkreten Assets im Industrie-4.0-System und enthält Informationen zur Verwal- 
tung und Verwendung des Assets. Der Body enthält den Komponenten-Manager der 
die zueinander abgegrenzten Teilmodelle mit ihren Merkmalen und Funktionen aus 
verschiedenen Domänen verwaltet. Jedes Teilmodell enthält dabei strukturierte Merk- 
male, die wiederum auf in unterschiedlichen Datenformaten vorliegende Funktionen 
zugreifen. Die Basismerkmale enthalten ein unerlässliches Minimum an Merkmalen, 
die für Assets unerlässlich zur Verfügung stehen. 


Teilmodelle 


Ziel der Teilmodelle ist die Vernetzung von Komponenten, Baugruppen, Geräten, Ma- 
schinen und Anlagen unterschiedlicher Typen und Hersteller zur Sicherung der In- 
teroperabilität in der Wertschöpfungskette. Die Teilmodelle beinhalten dabei die mit 
Hilfe der Verwaltungsschale definierte semantische Beschreibung der auf der vertika- 
len Achse des RAMI 4.0 verorteten technischen Assets. Die Aufgabe der Teilmodelle ist 
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Abb. 4.4: Schematische Darstellung der Industrie-4.0-Verwaltungsschale mit den Teilmodellen 
(Quelle: DIN SPEC 91345 (2016)). 


dabei die Beschreibung der zu nutzenden Merkmale mit ihren Strukturen sowie ihren 
vernetzten Daten- und Funktionsobjekten. 

Die Merkmale miissen basierend auf den Vorgaben der Industrie-4.0-Referenzar- 
chitektur inhaltlich erarbeitet und final orchestriert werden. Merkmale, die fiir alle 
Verwaltungsschalen verpflichtend und standardisiert sind, werden als Basismerkma- 
le bezeichnet. In Abbildung 4.4 wird dargestellt, wie darüber hinaus für einzelne tech- 
nische Assets sowohl permanent bereitzustellende Pflichtmerkmale als auch optional 
zu nutzende Merkmale definiert werden können. Die Verwaltungsschale soll dabei 
Merkmale aus unterschiedlichsten Merkmalsmengen und Domänen aufnehmen und 
voneinander differenzieren können. Einzelne Merkmale müssen unabhängig vonein- 
ander mit einer Version versehen und gepflegt werden können. 

Dieser Ansatz der Standardisierung durch Industrie 4.0 bietet den Anwendern die 
Möglichkeit, die Entwicklung von neuen technischen Systemen branchen- und sektor- 
übergreifend zu nutzen. Die Verwaltungsschale muss dabei so gestaltet sein, dass eine 
geeignete Abbildung zwischen unterschiedlichen Teilmodellen und Merkmalsmen- 
gen realisiert werden kann. Dadurch können bestehenden Merkmalsmengen auch in 
unterschiedlichen Domänen genutzt werden. Vorteile für den Anwender ergeben sich 
zum Beispiel bei der Inbetriebnahme und Integration von Maschinen und Anlagen in 
eine bestendende Fabrikumgebung. Diese werden mit Ihrem In der Verwaltungsscha- 
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le beschriebenen digitalen Zwilling identifiziert und authentifiziert und automatisch 
in das bestehende Industrie-4.0-System integriert. 


Interaktionssemantik 


Anwendungsszenarien fiir Industrie-4.0-Systeme sind stets durch eine hohe Flexibili- 
tät, Anpassbarkeit und Autonomie der beteiligten Komponenten während des opera- 
tiven Betriebs gekennzeichnet. Die wirksame und sichere Kooperation zwischen den 
einzelnen Verwaltungsschalen der Industrie-4.0-Komponenten orchestrieren letzt- 
endlich die Wertschöpfungsketten in einem solchen System (Abbildung 4.5). Dafür 
benötigen die Verwaltungsschalen eine gemeinsame, auf Interaktionsmustern basie- 
rende Sprache. Sie setzt sich aus einem Vokabular und dafür definierter Grammatik 
zusammen, deren Inhalte und Auswirkungen semantisch eindeutig beschrieben wer- 
den müssen (BMWi 2016). 

Industrie-4.0-Komponenten tauschen Nachrichten aus, welche auf ihr Verhalten 
einwirken können. Die Nachrichtenelemente sind Teil einer für Interaktionen notwen- 
digen Basis-Ontologie und verschiedener Domänen-Ontologien. Die Inhalte der On- 
tologie sind im Manifest der Industrie-4.0-Komponente verzeichnet. Die Ontologien 
sind im Industrie-4.0-System bekannt und eindeutig. Sie können auf Taxonomien bzw. 
Merkmalkatalogen basieren oder bei Notwendigkeit weitere technologische Konzepte 
nutzen. 


Beispiele für Industrie 4.0-Komponenten 
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(2016)). 


Industrie 4.0-konforme Kommunikation 
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Eine solche Spezifikation legt einen Schwerpunkt auf Interaktionen, um Verhand- 
lungen vorzunehmen und um anwendungsbezogene Funktionalitäten zu nutzen, die 
in Teilmodellen enthalten sind. Als Interaktion wird die Kombination von Zustands- 
übergängen wenigstens zweier Systeme bezeichnet, bei der die Ausgabenachrichten 
eines Systems (Sender) die Eingabenachrichtenwerte des weiteren Systems (Empfän- 
ger) darstellen. Diese Beschreibung legt nicht fest, welche Industrie-4.0-Komponen- 
ten welche Interaktionen anzubieten haben. Sie legt aber fest, wie die Interaktionen 
ablaufen, wenn die entsprechende anwendungsbezogene Funktionalität angeboten 
werden soll. 

Basierend auf dem Interaktionsprotokoll „Ausschreibungsverfahren“ wird in der 
Abbildung 4.6 ein beispielhafter Ablauf von Nachrichten zwischen Industrie-4.0-Kom- 
ponenten dargestellt. Dieinteragierenden Industrie-4.0-Komponenten können grund- 
sätzlich in zwei Gruppen aufgeteilt werden: intelligente Produkte als Auftraggeber und 
Maschinen als potentielle Auftragsnehmer. Das Produkt, in unserem Fall eine Wel- 
le, sucht nach Maschinen die den Anforderungen der Teilaufgabe entsprechen. Im 
ersten Schritt sendet das Produkt eine Nachricht „Angebotsanfrage“ mit der techni- 
schen Beschreibung der Dienstleistung inklusive Qualitätsmerkmalen, Preisvorgabe 
und Liefertermin. Nach Erhalt der Ausschreibung evaluieren die angefragten Maschi- 
nen selbstständig die Anforderungen und übersenden automatisch eine Antwort zu- 
rück. Dieser Vorgang kann sich auch mehrmals wiederholen. Intelligente Algorithmen 
entscheiden letztendlich über die Annahme eines Angebotes. Die finale Auftragsver- 
gabe findet im einstufigen Ausschreibungsverfahren durch die Nachricht „Angebots- 
bestätigung“ statt. Die Annahme eines Angebotes führt zu einem Vertragsabschluss 
zwischen der interagierenden Industrie 4.0-Komponenten (BMWi 2018a). 
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Abb. 4.6: Beispielhafter Ablauf der Interaktionen (Quelle: BMWi (2018a)). 
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Cybersicherheit 


Cybersicherheit wirkt wie ein Geflecht, das sich in alle Strukturelemente des RAMI 4.0 
und der Industrie-4.0-Komponente inkludiert und somit deren Kohärenz sichert. Bei 
der Beschreibung der Ziele können grundsätzlich funktionale und nicht funktionale 
Anforderungen unterschieden werden. Derzeit konzentrieren sich Hersteller vorder- 
gründig auf die geforderten Funktionen und Eigenschaften ihres Produktes, während 
dabei die nicht funktionalen Sicherheitseigenschaften oftmals weniger berücksichtigt 

und vernachlässigt werden (BMWi 2016). 

Ein wichtiges Element der Sicherheit einer Industrie-4.0-Komponente ergibt sich 
aus den sicheren Standardeinstellungen der Betriebsparameter. Schon in der Pla- 
nungsphase eines technischen Assets muss auf deren Sicherheitsbelange eingegan- 
gen werden, es muss von dem Sachverhalt vorhandener Sicherheitslücken ausgegan- 
gen werden. Aus diesem Grund sollten die Standardeinstellungen möglichst niedrig 
gewählt werden und selten benutzte Funktionen standardmäßig deaktiviert sein. 

Folgende Anforderungen für die Sicherheit einer Industrie-4.0-Komponente erge- 
ben sich nach (BMWi 2018b): 

— Anhand eines Herstellerzertifikates muss die Echtheit der Industrie-4.0-Kompo- 
nente verifizierbar sein 

- Alle Kenngrößen der Spezifikation der Industrie-4.0-Komponente müssen auf den 
sicheren Auslieferzustand des Herstellers zurücksetzbar sein. 

- Die Industrie-4.0-Komponente muss mit einer sicheren Voreinstellung aller Be- 
triebsparameter zum Schutz vor möglichen Angriffen während der Inbetriebset- 
zung ausgeliefert werden. 

- Sämtliche Grundvorrausetzungen zur Authentifizierung einer Industrie-4.0-Kom- 
ponente wie alle Passwörter und alle Zertifikate zur Überprüfung anderer Identi- 
täten müssen vom Inbetriebnehmer definiert werden können. 


Aus Sicht der Cybersicherheit kommt der Authentifizierung der Kommunikation zwi- 
schen den einzelnen Industrie-4.0-Komponenten eine besondere Bedeutung zu. Es 
gilt zu gewährleisten, dass der Versender einer Nachricht derjenige ist, der er vor- 
gibt zu sein, und dass die Informationen den gewünschten Adressaten auch er- 
reichen. 


4.3 Industrial Internet Reference Architecture (IIRA) 


Die Industrial Internet Reference Architecture (IIRA) dient der grundlegenden Defi- 
nition von Ende-zu-Ende-Anwendungssystemen des industriellen Internets und leitet 
die Anforderungen an Technologien und Designprinzipien ab. Architekturbeschrei- 
bung und -darstellung sind generisch und auf einem hohen Abstraktionsniveau ge- 
staltet. Die IIRA unterstützt eine breite industrielle Anwendbarkeit und destilliert und 
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abstrahiert gemeinsame Eigenschaften, Merkmale und Muster aus verschiedenen An- 
wendungsfällen. 

Die Charakterisierung der IIRA basiert auf dem Industrial Internet Architecture 
Framework (IIAF), das grundlegende Konzepte, Strukturen und Eigenschaften liefert. 
Basis für die Elemente der Architekturbeschreibung unabhängig von technischen 
Modellierungssprachen oder Werkzeugen ist der Standard ISO/IEC/IEEE 42010:2011. 
Er dient als einheitliche Arbeitsgrundlage und Rahmenwerk für die Darstellung und 
Organisation von Architekturbeschreibungen innerhalb einer Anwendungsdomäne 
oder Gemeinschaft einer Interessensgruppe (ISO/IEC/IEEE 2011). 

Die grundlegenden Architekturbeschreibungskonstrukte des IIAF sind Interes- 
sensvertreter, Belange und Standpunkte. Die Interessenvertreter der Architekturbe- 
schreibung haben unterschiedliche Motivationen und Anteilnahmen am System. Die 
sich daraus ableitenden Belange finden Ihre Berücksichtigung in der Architektur- 
beschreibung. Letztendlich sind vier Standpunkte die grundlegenden Ebenen beim 
Aufbau der IIRA und werden für die Beschreibung folgend festgelegt (IIC 2017a): 

-  Geschäftsstandpunkt 

- Belange: alle betriebswirtschaftlichen Werte, Ziele und Fähigkeiten sowie die 

regulatorischen Grundbedingungen des Systems 

—  Interessenvertreter: Führungskräfte, Produktmanager und Systemingenieure 
-  Anwenderstandpunkt 

- Belange: Einsatzszenario und Aktivitäten zur Bedienung und Nutzung des 

Systems 

-  Interessenvertreter: Systemingenieure und Produktverantwortliche 
-  Funktionsstandpunkt 

— Belange: fokussiert auf die funktionalen Komponenten eines Systems mit sei- 

ner Struktur, den Zusammenhängen, Schnittstellen und Interaktionen mit ex- 
ternen Elementen 

—  Interessenvertreter: Systementwickler, Komponentendesigner und Systemin- 

tegratoren 
- Implementierungsstandpunkt 
- Belange: benötigten Technologien wie funktionale Komponenten, deren Ver- 
netzung und Kommunikations-Profile inklusive der Produktlebenszyklen zur 
Umsetzung des Systems 

—  Interessenvertreter: Systementwickler, Komponentendesigner, Systeminte- 

gratoren und Systemoperateure 


Abbildung 4.7 verdeutlicht, dass sich daraus Sichten und Modellebenen der Anwen- 
dungssystem-Architektur ableiten lassen. Jede Modellebene beschreibt nach einer 
Abgrenzung anhand inhaltlicher Kriterien das System vollstandig unter einem be- 
stimmten Blickwinkel. Sichten präsentieren spezielle Aspekte einer Modellebene und 
eröffnen dadurch eine zusätzliche Form der Komplexitätsbewältigung. Die in den 
einzelnen Sichten zum Ausdruck gebrachten Inhalte können sich sehr wohl über- 
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Abb. 4.7: Industrial Internet Architecture Framework (IIAF) (Quelle: IIC (2017a)). 


schneiden, da sie jeweils ausdrücken, was für den konkreten Interessenvertreter 
maßgeblich ist. Der jeweilige Standpunkt definiert und begrenzt die Konventionen 
zur Erstellung, Interpretation und Analyse der Sicht. Ein Architekturstandpunkt ist 
als Folge dessen im Grunde eine Beschreibung der Methode zur Erstellung einer 
anwendungsbezogenen Sicht. 


4.4 Konzeptvergleich RAMI 4.0 und IIRA 


Das Referenzarchitekturmodell Industrie 4.0 (RAMI4.0) (DIN SPEC 91345 2016) soll 
nun mit der Industrial Internet of Things Reference Architecture (IIRA) (IIC 2017a) 
verglichen und gegeniibergestellt werden. Dazu eignet sich am besten der Funktions- 
standpunkt des IIRA mit seinen Funktionsbereichen, Querschnittsfunktionen und 
Systemmerkmalen. Funktionsbereiche beinhalten wichtige funktionale Bausteine, 
die in vielen industriellen Branchen eine breite Anwendbarkeit besitzen. Zwischen 
den einzelnen Funktionsbereichen findet sowohl ein Austausch von Informationen 
und Daten als auch Steuerbefehlen statt. Zusätzlich werden jedoch weitere Funk- 
tionen benötigt, um wichtigste Systemmerkmale wie Betriebssicherheit, Angriffssi- 
cherheit, Belastbarkeit und Skalierbarkeit zu gewährleisten. Querschnittsfunktionen 
sichern grundlegende Aufgaben, wie beispielsweise Konnektivität, Datenmanage- 
ment und Analytik für vielen Funktionskomponenten des Systems ab. 

Beim Vergleich der Konzepte von RAMI 4.0 und IIRA wird deutlich, dass das RAMI 
4.0 die funktionale Verortung der Industrie-4.0-Komponenten in ein Anwendungssys- 
tem und das IIRA die methodische Herangehensweise zur Gestaltung von Softwarear- 
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Abb. 4.8: Zuordnung der Funktionen in RAMI 4.0 und IIRA (Quelle: IIC (2017a)). 


chitekturen im Vordergrund stellt. Dabei wirft sich die Frage auf, ob beide Referenzar- 
chitekturen interoperabel sind und so mögliche Anwendungsfälle die Fähigkeit besit- 
zen zu kommunizieren und zusammenzuarbeiten. Gemeinsamkeiten von Konzepten, 
Methoden und Modellen zur Entwicklung konkreter Architekturen in IIRA und RAMI 
4.0 können systematisch zueinander abgebildet werden, obwohl sie auf unterschied- 
lichen Architektur-Framework-Standards basieren. Diese Ähnlichkeiten sind identifi- 
ziert und in einem semantischen Mapping in Abbildung 4.8 detailliert. Dabei werden 
die Bezeichnungen des IIRA auf adäquate Bezeichnungen des RAMI 4.0 referenziert 
(IIC 2017b). 

Momentan findet eine intensive Zusammenarbeit zwischen der Plattform Indus- 
trie 4.0 und dem Industrial Internet Consortium mit dem Ziel der gemeinsamen Ar- 
chitekturausrichtung sowie der Interoperabilität und Harmonisierung der IIRA- und 
RAMI-4.0-Konzepte statt. Alles in allem können die beiden Referenzarchitekturmo- 
delle problemlos nebeneinander existieren und gegebenenfalls ergänzend verwendet 
werden. Zukünftig werden die beiden Referenzarchitekturen, die sowohl ähnliche als 
auch komplementäre Elemente enthalten, um Herausforderungen des Industriellen 
Internets aus unterschiedlichen Perspektiven und über verschiedene Industrieberei- 
che hinweg zu adressieren, zusammengeführt und abgeglichen. 

Die Entscheidung für eine bestimmte Referenzarchitektur determiniert noch nicht 
die eigentliche Architektur von verlässlichen und sicheren Systemen, sie ist aber eine 
wichtige Grundlage zur Erreichung dieser Ziele. Beide Konzepte erscheinen zunächst 
sehr abstrakt. Wenn man sich allerdings ein wenig mit den jeweils spezifischen Dar- 
stellungsformen auseinandersetzt, erkennt man, dass eine Architekturbeschreibung 
zentraler Ausgangspunkt der Zusammenarbeit ist, und dass es mehrere gültige Dar- 
stellungsformen gibt - nur müssen sie in einem vorgegebenen Rahmen organisiert 
und klar strukturiert sein. 
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4.5 Zusammenfassung 


Innovationen gelten als Ursprung und mafigeblicher Treiber der wirtschaftlichen Ent- 
wicklung. Sie sind die Grundlage fiir neue Produkte und Dienstleistungen oder dienen 
zur Straffung und effizienteren Ausgestaltung bestehender Prozesse. Das grundlegen- 
de Ziel für KMU ist die Nutzung der bestehenden Normungslandschaft als bewährte 
und stabile Grundlage und die rasche Umsetzung der im Rahmen der Industrie-4.0- 
Strategie neu entwickelten Normen und Standards. Gerade aber diese Unternehmen 
haben es häufig schwer, im Bereich der Normung Schritt zu halten, sich adäquat in 
den Normungsprozess einzubringen und diese zeitnah anzuwenden. 

Normung und Standardisierung können als Prozesse verstanden werden, deren 
Aktivitäten die Fähigkeiten zur Gestaltung von Rahmenbedingungen zur geeigneten 
Anwendung eines Regelwerks beinhalten. Entscheidungen von kleinen und mittle- 
ren Unternehmen (KMU), sich an offiziellen Standardisierungsallianzen zu beteiligen 
werden in Blind und Mangelsdorf (2013) untersucht. Auf der einen Seite wird aufge- 
zeigt, dass KMU sehr wohl den Zugang zum Wissen größerer Unternehmen anstreben. 
Auf der anderen Seite wurde aber auch festgestellt, dass KMU, die eine bestimmte 
Schwelle in der Forschung und Entwicklung überschreiten, zögern, sich an der Nor- 
mung zu beteiligen, weil ihr Wissen zu wichtig ist um es an potentielle Wettbewerber 
weiterzugeben. Die Anwendung des RAMI 4.0 sichert auch KMU die Kompatibilität 
eines technischen Industrie-4.0-Systems mit anderen Industrie-4.0-Systemen sowie 
die Interoperabilität bzw. Austauschbarkeit von Industrie-4.0-Komponenten und be- 
günstigt damit letztendlich erheblich eine Reduzierung von Initial- und Folgekosten 
von Projekten. Das Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) beschreibt als 
grundlegender Bauplan die Zusammenhänge zwischen den Anforderungen und dem 
zu konstruierenden Industrie-4.0-Anwendungsfall. Als verständliche Darstellung der 
zentralen Entwurfsentscheidung hat es einen erheblichen Einfluss auf die nicht funk- 
tionalen und qualitativen Eigenschaften eines zu entwickelnden Systems und sichert 
die Wiederverwendbarkeit der einzelnen Bestandteile. Durch seine hervorragende 
Dokumentation bildet sie die Basis für die Systementwicklung und darin enthalte- 
nen Entwicklungsaktivitäten. Es dient als Kommunikationsmedium zwischen unter- 
schiedlichsten Partnern im Projekt und auch zum Anwender und ist somit Grundlage 
für ein erfolgreiches Projektmanagement. Zudem zeichnet sich RAMI4.0 durch Smart 
Service-Fähigkeit aus. Das heißt in RAMI4.0 wird berücksichtigt, dass intelligente 
internetbasierte Dienste integriert und abgebildet werden können. Bei einer Umfrage 
wurden Unternehmen aus dem Maschinen- und Anlagenbau, der Automobil- und 
Automatisierungstechnik, der Elektroindustrie sowie Softwarehäuser und Beratungs- 
unternehmen gebeten verschieden Architekturmodelle zu bewerten. Dabei zeigt sich, 
dass RAMI4.0 hinsichtlich der Allgemeingültigkeit als bestes Model und hervorragend 
bei der Smart-Service-Fähigkeit bewertet wurde (itsOWL 2015). Die digitale Transfor- 
mation bietet gleichermaßen Chancen, birgt aber auch neue Risiken. Dieses Papier 
gibt eine erste strukturierte Übersicht über Entwicklungen zum Thema Industrie-4.0- 
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Standardisierung im Themengebiet Referenzarchitektur. Die beschriebenen Infor- 
mationen dienen als Orientierung und vermitteln einen groben Uberblick. Tiefere 
Einblicke sowie eine Grundlage fiir eine schrittweise Annäherung und stufenwei- 
sen Einfiihrung neuer Industrie-4.0-Technologien kann Ihnen das Buch ,,Industrie 
4.0: Potenziale erkennen und umsetzen“ vermitteln (Schulz 2017). Noch ist der Weg 
von Industrie 4.0 nicht vollständig zurückgelegt — dass es auch für mittelständische 
Unternehmen der richtige Weg ist, kann kaum bezweifelt werden. 
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54 — Teilll Normen und Standards erstellen 


Dieser Teil thematisiert die Entscheidung von Unternehmen, sich aktiv in Normungs- 
und Standardisierungsgremien zu engagieren. Durch die aktive Beteiligung an der 
Normung und Standardisierung erhalten Unternehmen viele Vorteile. Empirische Stu- 
dien zeigen, dass die Teilnehmer an der Normung multiple Motive haben, die sie ver- 
suchen durchzusetzen (Blind und Mangelsdorf 2016). Im Einzelnen können Unterneh- 
men: 

- unternehmensspezifischen Inhalt in die Norm einbringen 

- mit Unternehmensziel im Konflikt stehende Normen verhindern 

- Das technologische Wissen von anderen Unternehmen beobachten und nutzen 
- ein technisches Problem lösen 

- einen zeitlichen Wissensvorsprung gegenüber Nichtteilnehmern erhalten 

—  Marktzugang erhalten oder komplett neue Märkte erschließen 

- Kompatibilität herstellen 

— Inhalt von verpflichtenden Regulierungen mitbestimmen 

—  Handelsbarrieren reduzieren 


Unternehmen beteiligen sich darüber hinaus immer häufiger in der konsortialen Stan- 
dardisierung und der Normung, was ein Zeichen für den steigenden Einfluss von IKT 
Technologien in allen Unternehmensbranchen ist. Die Mehrheit der IKT-Standards 
stammt aus der konsortialen Standardisierung. Aktuelle Zahlen zeigen, dass ab 2015 
nahezu 80% der im Deutschen Normungspanel befragten Unternehmen sowohl in 
der Normung als auch der Standardisierung tätig sind und der Anteil der Unterneh- 
men, die nur in der Normung sind, zurückgeht (DNP 2017). 

Für die erfolgreiche Umsetzung von digitalen Geschäftsmodellen, kann das Feh- 
len von Standards und Normen eine signifikante Barriere darstellen. Unternehmens- 
umfrage zeigen, dass mehr als die Hälfte der befragten Unternehmen fehlende Stan- 
dards für ein Hemmnis der Digitalisierung halten (Rusche 2017). Auch wenn die 
Beteiligung an der Normung und Standardisierung viele Vorteile liefert, bringt die 
Teilnahme auch Kosten mit sich — vor allem für kleine und mittlere Unternehmen. 
Die Entscheidung, sich aktiv an der Normung zu beteiligen, muss deshalb auch im 
Vergleich mit anderen Instrumenten sorgfältig abgewogen werden. Vor diesem Hin- 
tergrund zeigt Olaf-Gerd Gemein in Kapitel 5, welche Verfahren zur Konsensfindung 
aktuell in der Interoperabilitätsstandardisierung Verwendung finden. Da Standards 
im IKT-Sektor schnell veralten, empfiehlt der Autor unter anderem die Standardisie- 
rung als iterativen Prozess zu planen, mit Versionen unter einem Jahr und einem 
transparenten kontinuierlichen Weiterentwicklungsprozess. Die Autoren Nizar Ab- 
delkafı und Knut Blind zeigen in Kapitel 6, dass Normung und Standardisierung auf 
der einen Seite mit Patentierung auf der anderen Seite als strategische Instrumente 
des Technologiemanagements zu betrachten sind. Die Autoren entwickeln auf Basis 
von Interviews mit kleinen Unternehmen einen Entscheidungsbaum. Mit Hilfe der 
Fragen dieses Entscheidungsbaumes können Unternehmen qualifizierte Entschei- 
dungen darüber treffen, unter welchen Umständen sich die Teilnahme in der formalen 
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Normung, Standardisierungsgremien oder die Anmeldung eines Patentes lohnt. Die 
Autoren zeigen dabei auch die Möglichkeit auf, über standardessentielle Patente bei- 
de Instrumente gleichzeitig zu nutzen. Dass die Bedeutung von standardessentiellen 
Patenten zunimmt, zeigt Tim Pohlmann in Kapitel 7. Anhand einer Fallstudie in der 
Automobilindustrie legt der Autor die Bedeutung von Interoperabilitätsstandards, 
standardessentiellen Patenten und assoziierte Lizenzzahlungen an die Technologie- 
besitzer dar. Unternehmen mit Geschäftsmodellen im Smart-Service-Bereich sollten 
nach Analyse des Autors IP-Strategien entwickeln, die auch mögliche Lizenzzah- 
lungen in Betracht zieht. Die Geschäftsmodelle in den Smart-Service-Welt-Projekten 
sehen nicht nur die Entwicklung von patentierbaren Technologie vor, sondern auch 
die Entwicklung von Software. Diese Software bilden nicht selten Schnittstellen ab 
und haben genau wie Normen und Standards eine „standardisierende Wirkung“. 
In Kapitel 8 nehmen sich die Autoren Mirko Böhm und David Eisape dem Thema 
Normung und Standardisierung und Open-Source-Software an. Dabei zeigen die Au- 
toren, dass die Instrument Normung und Standardisierung auf der einen Seite und 
Open-Source-Software mit „standardisierender Wirkung“ auf der anderen Seite so- 
wohl Wettbewerber als auch komplementäre Instrumente sein können. Die Autoren 
basieren ihre Erkenntnisse dabei auf umfassenden Interviews, die sie in der Open- 
Source-Community und mit Experten der Normungslandschaft geführt haben. Aus 
den Erkenntnissen leiten die Autoren Empfehlungen für die Open-Source-Communi- 
ty, die Normung- und Standardisierungsorganisationen und Regulierungsbehörden 
ab. Abschließend hebt Mona Mirtsch in Kapitel 9 hervor, dass Normen und Standards 
nicht nur für Interoperabilitätsfragen hohe Bedeutung haben, sondern auch für die 
Cybersicherheit. Vor dem Hintergrund des Rechtsaktes zur Cybersicherheit, zeigt die 
Autorin die Rolle von Normen und Standards für einen europäischen Zertifizierungs- 
rahmen. Mit dem europäischen Zertifizierungsrahmen sollen die Sicherheit und das 
Vertrauen in IKT-Produkte und Dienste erhöht und gleichzeitig eine Fragmentierung 
von national unterschiedlichen Systeme verhindert werden. 


Olaf-Gerd Gemein 

5 Methoden zur Konsensfindung in marktnahen 
Standardisierungsprozessen: Pivotal Points 
of Interoperability 


5.1 Einführung 


In diesem Kapitel werden aktuelle und innovative Methoden zur Konsensfindung in 

Standardisierungsprozessen, die sich in der Praxis etabliert haben, zusammenhän- 

gend betrachtet. Im Zentrum der Diskussion steht die Anforderung nach Interope- 

rabilität aus verschiedenen Perspektiven — neben der technischen auch semantische 

oder organisatorische. Semantische Interoperabilität ist das Bindeglied zwischen der 

rein technischen und prozessualen Interoperabilität. Das betrifft auch die internetba- 

sierten Dienste auf Basis intelligent verknüpfter Daten — so genannter Smart Services. 

Der globale, länderübergreifende Einsatz nutzerinnen- und nutzerorientierter techni- 

scher Anwendungen und die Vernetzung von Einrichtungen sowie Akteurinnen und 

Akteuren in allen Bereichen kann nur gewährleistet werden, wenn Interoperabilität 

zwischen den genutzten Systemen geschaffen wird. Auf der Ebene der Normung und 

Standardisierung sind in den letzten Jahren verschiedene Methoden der Konsensfin- 

dung entstanden, die unter den folgenden Begriffen bekannt geworden sind: 

- PPI Pivotal Points of Interoperability (Zentrale Interoperabilitäts-Punkte) 

- MMs Minimum Interoperability Mechanisms (Minimale Interoperabilitätsme- 
chanismen) 

- MIOS Minimum Information Interoperability Standards (Minimale Informations- 
interoperabilitätsstandards) 

- PCP Pre-Commercial Procurement (Vorkommerzielle Beschaffung- und Auftrags- 
vergabe) 

- PPIs Public Procurements of Innovative Solutions (Öffentliche Beschaffung- und 
Auftragsvergabe innovativer Lösungen. 


5.2 Pivotal Points of Interoperability 


PPI ist im Kontext von Smart City aus dem Bedarf von Städten entstanden ist, um in 
der Vielfalt existierender Lösungen einen Überblick zu erreichen. Das Ziel der PPI- 
Methode ist es, Interoperabilität zu ermöglichen, indem die Kernpunkte technischer 
Kompatibilität gefunden und dokumentiert werden. Dabei wird das „Vendor-Lock-in“ 
(das heißt die Abhängigkeit von Anbietern proprietärer Technologien) vermieden. In 
PPI-Hinsicht wird Konsens erreicht, wenn Gleichheit hinsichtlich Methode, Spezi- 
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Abb. 5.1: Pivotal Points of Interoperability (Quelle: Burns (2015)). 


fikation, Protokoll, Datenmodell, Ontologien etc. herrscht, jedoch Raum fiir andere 
Wege bleibt. Das Ringen um Konsens fallt umso leichter, umso mehr Freiheiten die 
Normungsteilnehmer fiir Entscheidungen haben, die aus historischen oder aktuellen 
Zwangen herrühren können. Die PPI-Methode wurde z.B. im Rahmen des IoT Enab- 
led Smart Cities Framework im National Institute of Standards and Technology (NIST) 
angewandt. Der Autor nahm auf Seiten FIWARE an der internationalen Arbeitsgrup- 
pe teil. Das Prinzip von Pivotal Points of Interoperability besteht darin, Konsens bei 
standardisiertes Schnittstellen zu finden, die sich mit der Komposition (und Orches- 
trierung) von „Cyberphysical Systems (CPS)“ beschäftigen, ohne auf Innovation zu 
verzichten 

Wie Abbildung 5.1 zeigt, sind die PPI die zentrale Schnittmenge, welche alle zu 
untersuchenden technischen Frameworks gemeinsam haben. Im Weiteren ergeben 
sich im Falle der Gleichheit nur einiger Frameworks sogenannte ,,Possible Extension 
Points“, die also einer möglichen zusätzlichen Vereinbarung am ehesten zugänglich 
sind, da offenbar einige Frameworks bereits diese Gleichheit aufweisen. Im Bereich 
der „possible Gaps“ sind dann die technische Artefakte verortet, welche von nieman- 
den sonst verwendet werden. Im Bereich der „Gaps“ sind insbesondere Artefakte an- 
zutreffen, die zum Beispiel proprietär oder veraltet sind. Im Bereich der „Possible Ex- 
tensions“ sind diejenigen Artefakte anzutreffen, welche bereits eine gewisse Verbrei- 
tung gefunden haben, aber noch nicht allgemein anerkannt zu sein scheinen. Oder 
aber auch, weil sich die betroffenen Punkte auf dem Rückzug befinden. 

An dieser Stelle ist es bereits möglich, dass die Synthese aller Punkte sofort zwei 
Ad-hoc-Ergebnisse bietet: Die Feststellung von „Einigkeiten“ sowie die klare Definiti- 
on von Diskussionspunkten in zwei Kategorien (Extensions und Gaps) und eine even- 
tuelle Priorisierung. Den anschließenden Arbeitsplan, derin Abbildung 5.2 dargestellt 
ist, beschrieb er wie folgt: 
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Abb. 5.2: Zusammenhänge der PPI Methode (Quelle: Burns (2015)). 


1. Normalisierung der vorhandenen Architekturen (Standards, Ontologien, Referen- 
zen und Topologien) 

2. Vorhandene Implementierungen (praxiserprobte reale Beispiele) ebenfalls in 
Normalform transformieren 

3. Vergleichen der Ergebnisse von 1. und 2. 

4. Erzielung von Konsens bei den Kreuzungspunkten (Pivotal Points) 

5. Dokumentieren der Ergebnisse in einem Framework. 


Der linke Bereich beschreibt die Analyse von Frameworks (also Architekturen, Topo- 
logien, Datenmodellen, Ontologien, etc) und der rechte Bereich bezieht sich auf die 
Untersuchung von realen Implementierungen (Case Studies, Proof of Concepts, Use 
Cases, etc.). In der Mitte werden die Ergebnisse verortet und die Consensus PPI festge- 
stellt. Die Arbeitsgruppe startete mit 6 Moderatoren und 43 Teilnehmern. Es wurden 
drei Gruppen gebildet. 

1. Bestehende Architekturen (Application Framework) 

2. Harmonisierung und Konsolidierung (Consensus PPI) 

3. Existierende UseCases (Deployed PPI). 


Leichter gesagt als getan: Es war geplant, im Frühjahr 2017 bereits belastbare Fr- 
gebnisse publizieren zu können, tatsächlich dauerte es allerdings bis Frühjahr 2018. 
Die Erstellung der Normalform wurde fristgerecht innerhalb der ersten sechs Mona- 
te fertiggestellt, jedoch dauerte das Einpflegen der zahlreichen Frameworks (nebst 
penibel dokumentierten Quellen) länger als ein Jahr. Die größte Schwierigkeit war 
das dann zurückgehende Engagement der beteiligten Mitglieder, so dass die „Con- 
sensus“-Arbeitsgruppe ein weiteres Jahr gearbeitet hat, um zu einem Ergebnis zu 
kommen. 

Im Verlaufe des ersten Jahres wurde umfangreiches Material gesichtet und in rie- 
sige Tabellen eingepflegt (sogenannte „Technical Artifacts“). Alle Unterlagen sind on- 
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line einsehbar und transparent fiir jeden Interessierten. Es wurden unter anderem ge- 

sichtet: 

- Beispiele von aktuellen Architekturen (>100 Beispiele aus der ganzen Welt). 

-  Erfolgsgeschichten in welchem eine reibungslose Integration erreicht wurde. 

- Standards, die eine modulare Integration von neuen Funktionen ermöglichen. 

— „Best Practices“: Wie wurden neue Funktionen in bestehende Infrastrukturen ein- 
gebunden? 

- Lehrmaterial und Vorlagen im Kontext von Smart Cities. 


Die Arbeiten stießen auf weltweites Interesse und wurden in verschiedenen Projek- 
ten und Standardisierungsprozessen berücksichtigt; an dieser Stelle schon mal einige 
„Lessons Learned“ zum Verfahren: 

-  Unterschatze nicht die erforderliche Kapazität und den notwendigen Willen zur 
Mitarbeit. Moderation, Engagement und Wohlwollen sind entscheidende Erfolgs- 
faktoren. 

— Mache den gesamten Prozess transparent und dokumentiere öffentlich einsehbar 
auch alle Zwischenschritte und Entwürfe. Lade regelmäßig aktiv zur Mitarbeit ein 
und halte keine Informationen zurück. 

-  Fördere bilaterale Zusammenarbeit zwischen einzelnen Teilnehmern und ermög- 
liche so Arbeit in Kleingruppen von Enthusiasten. 


Die Anwendung des PPI-Konzeptes hat sich auch bereits in anderen Kontexten be- 
währt. Im Rahmen des EU LightHouse Projektes SynchroniCity, zum Beispiel, wurde 
das Verfahren eingesetzt, um eine Referenzarchitektur zu erstellen, die europaweit 
als Vorlage gelten soll. Federführend in der Entwicklung der Referenzarchitektur ist 
Prof. Martin Brynskov, Universität Aarhus, Dänemark, Leiter und Initiator der Open & 
Agile Smart Cities Initiative (OASC), die sich zum Ziel gesetzt hat, weltweit Städte bei 
der digitalen Transformation zu unterstützen. Aktuell sind 117 Städte aus 24 Ländern 
Mitglied, in Deutschland die digitale Stadt „Paderborn“ und Delbrück aus Nordrhein- 
Westfalen. Die Referenzarchitektur wurde in Kooperation mit der Alliance for Internet 
of Things Innovation (AIOTI) entwickelt. Es wurden 6 zentrale Punkte definiert, für 
die nach umfangreichen Recherchen und Tests eine Definition im Konsens getroffen 
wurde: 


1. Security 

2. Marketplace 

3. Context management 
4. Data Storage 

5. Datamodels. 


Neben der Definition von „Punkten“ (im Sinne von Berücksichtigungspunkten), wur- 
den auch Datenmodelle und weitere Spezifikationen definiert, und auch entsprechen- 
de Schnittstellen (API = application programming interface, wörtlich Anwendungs- 
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programmierschnittstelle). An der Stelle geht der Ansatz der OASC über den vom IES 
Framework hinaus und entwickelt ihn weiter. Während sich IES um eine weltweite 
Bestandsaufnahme bemüht hat, und zahlreiche „PPI“ definiert, fokussiert sich OASC 
auf 6 Kernpunkte und liefert dazu auch Implementierungen und Datenmodelle. Im 
folgenden Abschnitt gehen wir noch weiter darauf ein. Insgesamt hat sich das PPI 
Verfahren sehr bewährt und hat bereits Eingang in die Praxis gefunden. 


5.3 MIMs - Minimum Interoperability Mechanisms 


MIMs, Interoperabilitätsmechanismen sind die eigentlichen Spezifikationen der 
Schnittstellen (API) an den Interoperabilitätspunkten (PPI). Mechanismen sind al- 
so konkrete Spezifikationen, wie eine Schnittstelle aussehen muss. Die Umsetzung, 
also die reale Implementierung in eine API, kann zum Beispiel hinsichtlich der Pro- 
grammiersprache unterschiedlich realisiert werden. Typischerweise existieren im 
Verlaufe der Zeit bei bewährten MIMs mehrere API, die je nach Ausgestaltung, An- 
wendungszweck und Kontext sehr unterschiedlich sein können. 

Damit sind die MIMs (Standard-API und Richtlinien) wesentlicher Bestandteil 
einer Topologie, welche von einer Stadt implementiert werden könnte, um mit den 
sich zunehmend etablierten Smart-City-Frameworks kompatibel zu sein, zum Bei- 
spiel wie in der 2017 veröffentlichten Reference Architecture Model Open Urban Plat- 
form (OUP), einer DIN SPEC. Mit der Entwicklung von oupPLUS, einer Referenzarchi- 
tektur für Smart Cities ICT, wurde ein zentrales Element für die Implementierung von 
standardisierten Smart-City-Konzepten in städtischen Umgebungen geschaffen. Ziel 
von oupPLUS war neben der Identifikation und Spezifikation von abstrakten, offe- 
nen Schnittstellen, auch Richtlinien für klar definierte offene Schnittstellen zwischen 
den verschiedenen IKT-Komponenten zu erstellen, um so Interoperabilität verschie- 
dener Lösungen in verschiedenen Bereichen und städtischen Umgebungen, und die 
Replikation und Wiederverwendung von Smart-City-Lösungen in mehreren Städten 
möglich zu machen. MIMs sind somit die operativen Bausteine zur Implementie- 
rung von Architekturen. Sobald MIMs sich in Märkten etablieren, ermöglichen sie 
den Marktteilnehmern barrierefreie Zugänge und Portabilität in verschiedene, vor- 
her schwer adressierbare Systeme. MIMs sind somit letztlich auch die Voraussetzung 
für Skalierung. In Kapitel 5.5 werden die 5 wichtigsten MIMs im Bereich Smart Cities 
exemplarisch vorgestellt. 


5.4 MIOS - Minimum Information Interoperability Standards 
Aus PPI und MIMs entstehen MIOS, das heißt Standards, die in Referenzarchitektu- 


ren Eingang finden (wie zum Beispiel die „Reference Architecture Model Open Urban 
Platform“ (DIN SPEC 91357 2017) und stellen so eine technische Konkretisierung dar. 
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Die von MIOS verfolgten Ziele sind in erster Linie Interoperabilität, Wiederverwend- 
barkeit, Offenheit, Reduktion von Kosten und Risiken sowie die Skalierbarkeit von 
IT-Anwendungen. 

In Deutschland hat die Koordinierungs- und Beratungsstelle der Bundesregierung 
für Informationstechnik in der Bundesverwaltung (KBSt) die aktuelle Version 5.0 der 
MIOS zuletzt im Jahre 2011 veröffentlicht. Motivation und Ziel war es auch, im Weiteren 
eine von nur einem oder wenigen Software-Herstellern geprägte „Monokultur“ durch 
Schaffung von MIOS zu vermeiden und im Besonderen die Dominanz von einigen Soft- 
wareunternehmen zurückzudrängen. Zahlreiche Länder veröffentlichen MIOS und re- 
ferenzieren diese dann in öffentlichen Ausschreibungen. Damit bilden MIOS sowie de- 
ren Bestandteile PPI und MIMs die konzeptionelle Grundlage für Interoperabilität in 
IKT Systemen, und erleichtern den Beschaffern die Definition der technischen Bedin- 
gungen. SAGA ist das Government Interoperability Framework der deutschen Bundes- 
verwaltung (SAGA 2018). Andere Länder haben vergleichbare Rahmenwerke erarbei- 
tet, die als Entscheidungshilfe für den Einsatz von technischen Standards im Bereich 
E-Government dienen. 

Typischerweise auch im Rahmen von EU-Projekten entstehen MIOS, um Pilotpro- 
jekte auszuschreiben, ein Konzept, welches sich in den letzten Jahren im Rahmen 
des Cascade Funding Modells etabliert hat. Cascade-Finanzmittel wurden zunehmend 
im Sektor Informations- und Kommunikationstechnologien im Forschungsprogramm 
Horizon 2020 eingesetzt und tragen dazu bei, Wissenstransfer und -nutzung, Nutzung 
von Technologien und Aufbau und Skalierung von Okosystemen in diesen Gebieten zu 
fordern (ICT Proposers Day 2017). MIOS unterstiitzen somit die Etablierung von Stan- 
dards indem sie Leitlinien setzen und damit technische Referenzen fiir den Markt der 
öffentlichen IKT Infrastruktur schaffen. 
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In der Praxis der Standardisierung ist das vorrangige Ziel, die einfache Replizierung 
und Portabilität von Systemen zu erreichen. Im Folgenden werden einige Beispiele 
und ihre Besonderheiten genauer betrachtet. 


(A) EU Lighthouse Project SynchroniCity 


Im Projekt SynchroniCity arbeiten weltweit aktuell 10 Städte zusammen um Interope- 
rabilität im Bereich „Smart Cities und IoT“ zu erreichen (SynchroniCity 2018). Natür- 
lich sind die PPI wie bereits im vorherigen Abschnitt erläutert Gegenstand des Ar- 
beitsplanes des ersten Jahres 2017 gewesen. Zusätzlich wurden Interoperability Me- 
chanisms (MIM) definiert, welche die eigentlichen Spezifikationen der Schnittstellen 
an den PPI repräsentieren: konkret marktweit anerkannte Standard-API und Richtlini- 
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Abb. 5.3: Zentrale PPI Bereiche in der SynchroniCity 
(Quelle: SynchroniCity (2018)). 


Interoperability Point Description Specification document Related Standards 
(synchronicity-iot.eu/about) [and Baselines] 


This API allow to access to real-time context Reference Architecture for loT Enabled | ETSI NGSI-LD prelim 
Context Management information from the different cities. Smart Cities (D2.10) API, OMA NGSI, ITU-T 
API SG20*/FG-DPM* 


Guidelines and catalogue of common data Guidelines for the definition of OASC [SynchroniCity RZ + 
models in different verticals to enable Shared Data Models (D2.2) partner data models] 
Shared data models interoperability for applications and systems 
among different cities Catalogue of OASC Shared Data Models 

for Smart City domains (D2.3) 

It exposes functionalities such as catalog Basic Data Marketplace Enablers (D2.4) | [TM Forum API) 
management, ordering management, revenue 
Marketplace API management, SLA, license management etc. Guidelines for the integration of loT 
devices in OASC compliant platforms 


API to register and authenticate user and Reference Architecture for loT Enabled | OAUTH2 
Security API applications in order to access to the Smart Cities (D2.10) 

SynchroniCity-enabled services. 
This API allows to access to historical data and | Reference Architecture for loT Enabled | ETSI NGSI-LD, 
Data Storage API open data of the reference zones. Smart Cities (02.10) DCAT-AP [CKAN] 


Abb. 5.4: Interoperabilitätsmechanismen des SynchroniCity Frameworks (Quelle: SynchroniCity 
(2018)). 


en. MIMs sind wesentliche Grundlage der kollaborativen Arbeit in diesem Projekt. Zur 
Implementierung der auf Konsens basierenden PPI wer den Methoden und Empfeh- 
lungen für die praktische Umsetzung gegeben. Vier Bereiche werden als grundlegend 
angesehen (siehe Abbildung 5.3): 

Die zentrale Regel des Projektes lautet, (1) nur Referenzen zu berücksichtigen, 
welche in der Praxis erprobt und nicht am „Schreibtisch“ entstanden oder „nur“ aus 
einem theoretischen Konzept abgeleitet sind. Diese Praxisnähe ist die Grundlage für 
die Beschaffung und Evaluierung der technischen Qualitäten der jeweiligen Umset- 
zung. (2) Open Data Platforms (im Sinne eines „Datalake“) bilden die unabdingbare 
jeweilige Datenquelle. Im Projekt wird auf die Referenz der von der Open Knowledge 
Foundation (OKF) eingeführten und weltweit mehrheitlich verwendeten Referenzar- 
chitektur für offene Daten, „CKAN“, verwiesen. (3) Context Information ist der Kern- 
baustein in der Architektur und wird über sogenannte Context-Broker realisiert, wobei 
der De-facto-Standard hier von der in Berlin ansässigen FIWARE Foundation e. V. ge- 
liefert wird. (4) Realtime API sollen stets aktuelle Informationen bereitstellen. 
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Wie in Abbildung 5.4 ersichtlich, sind inzwischen weitere MIM hinzugetreten. Ne- 
ben der Kollektion von spezifischen Datenmodellen wird auch eine Marketplace API 
als zentrales Element hervorgehoben. Dies entspringt der langjahrigen und intensiven 
Zusammenarbeit zwischen FIWARE, OASC und TM Forum (dem weltweit führenden 
Verbund der Telekommunikationsindustrie). Das TM Forum ist eine Arbeitsgemein- 
schaft von tiber 850 Unternehmen der IT- und Telekommunikationsindustrie aus mehr 
als 70 Ländern. Zielsetzung ist die Bereitstellung von Leitlinien und Lösungskonzep- 
ten für die Verbesserung des Managements und des Betriebs von Informations- und 
Kommunikationsnetzen und stellt hier Funktionen zum Erreichen einer „Datenöko- 
nomie“ bereit, die sozusagen die „kleine“ Ausgabe der Plattform Ökonomie darstellt, 
die Stadt als Plattform und Enabler/Facilitator einer lokalen, kollaborativen Ökono- 
mie (TMFORUM 2018). Schließlich werden die Sicherheitsmechanismen des Industrie 
Standards zur Authentifizierung, OAuth2.0 referenziert, welche seit 2006 entwickelt 
wurden (OAuth 2018). 


(B) Industrial Dataspace Association (IDSA) - IDS Connector 


Der in Deutschland beheimatete internationale Verbund IDSA hat es sich zur Aufga- 
be gemacht, ausgehend vom Industriebereich eine Referenzarchitektur für sicheren 
Austausch von Daten weltweit zu etablieren. Der IDS Connector (in diesem Zusam- 
menhang ein MIM) ist einer der zentralen Bestandteile der von IDSA in den letzten 
Jahren entwickelten Referenzarchitektur, entstanden zunächst im Kontext von Indus- 
trie 4.0, der jetzt auch auf andere Domänen ausgeweitet wird. Im Kern stellt er eine 
Spezifikation zum Erreichen von Datensouveränität dar, eine zentrale und wichtige 
Voraussetzung für die Datenökonomie. 

Abbildung 5.5 zeigt, wo der IDS Connector ansetzt und wie die verschiedenen 
Stakeholder vernetzt werden. Auch hier sind wieder einige der bekannten 5 MIMs aus 
dem SyncroniCity-Projekt anzutreffen: Der Data Marketplace und Open Data Source 
und der IDS Connector kombiniert Security mit Brokerfunktionen. Im Kern ermöglicht 
der IDS-Connector den souveränen Datenaustausch zwischen dem jeweiligen Bereit- 
steller und Nutzer der Daten. 


(C) Smart MaaS (Mobility as a Service) 


Im Projekt Smart MaaS (Smart Mobility as a Service) werden grundlegende Techno- 
logien und Ideen auch zur Lösung individuell vernetzter, innovativer Verkehrsmög- 
lichkeiten im Sinne eines multimodalen Verkehrssystems als auch multimodalen Ver- 
kehrsverhaltens entwickelt (SmartMaaS 2018). Smart MaaS setzt dies während der 
Projektlaufzeit 2018-2021 mit dem europaweit anerkannten Softwareframework FI- 
WARE um, welches schon in über 1.000 Projekten eingesetzt wurde und sowohl kos- 
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Abb. 5.5: IDS Connector (Quelle: IDSA (2018)). 


tenlos als auch Open Source zur Verfügung steht. Auch hier spielt der Contextbroker 
(CB), wie im oben bereits erwähnten Projekt „SynroniCity“ dargestellt und erläutert, 
eine entscheidende Rolle als MIM. 

Der CB als modularer Softwarebaustein stellt die Implementierung der PPI zur 
Verfügung. Der Contextbroker wird in diesem Projekt weiterentwickelt, um im seman- 
tischen Web mit Linked Data umgehen zu können. Dies wird maßgeblich die Erhö- 
hung der Qualität „Interoperabilität“ ermöglichen. Aktuell basiert der Contextbroker 
auf dem NGSI 2.0 Protokoll von der Open Mobile Alliance (OMA), einer von der Indus- 
trie getragenen Standardisierungsgruppe, dokumentierten Spezifikationen. Die Con- 
textbroker API ist eine RESTful API via HTTP. 

Die nächste Version des Protokolls „NGSI-LD“ wird das Linked-Data-Konzept un- 
terstützen. Hier spielen Ontologien zur Erreichung von Interoperabilität eine entschei- 
dende Rolle. Linked Data vernetzt Daten, und wird im Kontext von Open Data als Lin- 
ked Open Data (LOD) bezeichnet. Dies ist eine der MIMs, die auch im SychroniCity- 
Projekt als einer der 5 zentralen Mechanismen konsensual identifiziert worden sind. 

Abbildung 5.6 zeigt den prinzipiellen Aufbau der Ontologien, welche die Grund- 
lage von Linked Data und Linked Open Data sind. Linked Open Data (LOD) ist Teil 
des Semantic Web. Unter Linked Open Data versteht man frei verfügbare Daten, die 
zu einem Netzwerk von Datenbeständen aus Begriffen mit eindeutiger Identifikati- 
onsnummer (sog. „URI“) verbunden werden. Auf dieses Netzwerk (sog. Linked Open 
Data Cloud oder Giant Global Graph) können semantische Applikationen zugreifen. 
Im Projekt Smart MaaS geht es konkret darum, nicht nur Interoperabilität zwischen 
allen domainspezifischen Datenmodellen und Services im Bereich der Mobilität her- 
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Abb. 5.6: Ontologie-Meta-Model (Quelle: ETSI (2018)). 


zustellen, um die Vision einer multimodalen Mobilität technisch möglich zu machen, 
sondern diese auch cross-domain an Smart-City-Topologien anzubinden. Dabei wer- 
den die bewährten Verfahren PPI und MIM auch im Rahmen der projektbegleitenden 
Anforderungsanalyse genutzt, um die technische Umsetzung kompatibel, standard- 
basiert und somit interoperabel zu machen. 

Im Ergebnis zielt das Projekt darauf ab, MIOS (also Minimum Information Inter- 
operability Standards) im Mobility Sektor zu schaffen (MMIOS) die dann z. B. für lo- 
kale Plattformen und Operators in der Fläche genutzt werden können und mit den 
Smart-City-Topologien cross-domain interoperabel sind. Das Projekt wird auch die ge- 
nerischen und spezifischen API, unter anderem auf Basis FIWARE, realisieren und 
wird mit den Projektpartnern und assoziierten Partnern in mehreren Städten konkrete 
im Testbetrieb umsetzen. Bei der späteren kommerziellen Implementierungen werden 
PPIs und PCP Verfahren dann hilfreich sein, die lokale Adaption technisch geschickt 
umzusetzen. 


5.6 Zusammenfassung 


In diesem Kapitel wurde gezeigt, wie ausgehend von dem Konzept der PPI Konsens in 
marktnahen Standardisierungsprozessen erreicht werden kann. Natürlich haben alle 
Bemühungen um Standardisierung keinen Selbstzweck, sondern richten sich auf kon- 
krete Vorhaben und Bedarfe. Deshalb haben wir weitergehend dargestellt, wie auf der 
Basis der PPI und MIMs konkrete Umsetzungen realisiert werden können und wel- 
che technischen, generischen Implementierungen aktuell weltweit dazu anerkannt 
sind. Daraus sind bereits MIOS entstanden, die bei der Umsetzung im einheitlichen 
digitalen Binnenmarkt auf der Basis der CEF Buildungsblocks (siehe CEF 2018) unter 
anderem Anwendung finden oder sich auch bei diversen anderen Standardisierungs- 
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Abb. 5.7: Consensus Framework (Quelle: Eigene Darstellung). 


gremien aktuell in der Umsetzung befinden. Ziel aller Anstrengungen sollte es sein die 
so entstandenen Spezifikationen im Markt breit einzufiihren. In diesem Kapitel wur- 
de deshalb darauf verwiesen, wie Innovationen mit den Instrumenten des PPIs und 
PCP europaweit bereits eingefiihrt werden. Das Ergebnis kann im folgenden Consen- 
sus Framework (Abbildung 5.7) dargestellt werden. 

Die FIWARE Foundation, Berlin, entstanden aus der Future Internet Public Pri- 
vate Partnership (FI-PPP), hat sich in den Jahren 2011 bis 2018 an einen sehr ähn- 
lichen Fahrplan wie das Consensus Framework gehalten und nicht zuletzt deshalb 
heute weltweit Erfolg. In den ersten Jahren, 2011 und 2012 wurden die PPI ermittelt, 
dort bezeichnet mit „Generic Enablern (GE)“. Ein GE ist ein allgemein, domainüber- 
greifender Softwarebaustein und eine API. Die Architektur wurde maßgeblich vom 
Chefarchitekten Juanjo Hierro konsensual zwischen den über 500 beteiligten Partnern 
in der PPP entwickelt und dann 2013 in über 100 MIMs „gegossen“, also Codebaustei- 
ne, auch „Building Block“ genannt. Nach ausführlichen großen Tests in Phase 2, den 
sogenannten Large Scale Pilots, wurden das Framework 2015 und 2016 in über 1.000 
Projekten europaweit und später weltweit getestet. Dies war die Voraussetzung für die 
MIOS, welche in verschiedenen internationalen Arbeitsgruppen auf dieser Basis ent- 
standen. 

Auch GSMA hat eine Referenzarchitektur für ein IoT BigData Ecostsystem im Kern 
auf FIWARE NGSI API aufgebaut. TM Forum hat FIWARE NGSI als Basis Enabler für die 
Data Economy erkannt und in das eigene Framework übernommen. Auch Connecting 
Europe Facility (CEF) hat 2018 FIWARE als 6ten Baustein in das Framework aufge- 
nommen, um den Single Digital Markt umzusetzen. ETSI hat 2018 den ersten Entwurf 
eines Context Information Standards (CIM) auf der Basis FIWARE NGSI veröffentlicht 
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und auch die OASC, wie oben gezeigt, hat FIWARE Bausteine ins Zentrum der Archi- 

tektur gestellt. Die ITU hat unter anderem in aktuell zwei Arbeitsgruppen MIMs und 

PPI in Anwendung: 

1. ITU-T FG-DPM (Data Processing und Management to support IoT in Smart Cities 
and Communities 

2. ITU-T SG20 (Open API for Smart Cities). 


Aktuell arbeitet FIWARE über verschiedene Maßnahmen und in verschiedenen welt- 
weiten PPIs und PCP-Projekten an der breiten Implementierung, nicht nur in Deutsch- 
land (Heidelberg, Paderborn, Wolfsburg, Aachen und andere) sondern in 39 Ländern 
rund um den Globus. Dabei werden die PPI und MIM als generische Bausteine zur Im- 
plementierungin verschiedenen Domänen eingesetzt: Neben Smart Cities auch erfolg- 
reich im Industrie 4.0 und Smart Farming Bereich. In 2018 kommen weitere Domänen 
dazu, zunächst Smart Energy/Grid, andere Bereiche werden beobachtet. 


5.7 Handlungsempfehlungen 


Für innovative Unternehmen, die an der Erarbeitung von Interoperabilitätslösungen 

beteiligt sind, werden folgende Handlungsempfehlungen abgeleitet: 

- Öffne Dich dem Wettbewerb und suche die Kooperation. Denke kollaborativ und 
handle agil! 

- Starte in Gedanken und bei der Konzeption möglichst global — Deutschland ist 
keine Insel und auch Europa ist kein ausreichender Markt! (Think global but act 
local). 

- Bottom Up - Standards sollten nicht nur in Gremien entstehen, sondern aus der 
Praxis aller Stakeholder (User-driven implementation). 

- Innovation und Standards sind keine Gegensätze. 


Das Consensus Framework bietet eine praktikable und bewährte Roadmap. Standards 
sind nicht fiir die Ewigkeit, die Halbwertzeit ist stark abnehmend, kaum entwickelt 
drohen sie zu veralten. Deshalb ist es von Beginn angeraten, stark iterativ und agil 
vorzugehen und Standards als Prozesse zu etablieren, mit Versionen unter einem Jahr 
(Jahreseditionen) und einem transparenten kontinuierlichen Weiterentwicklungspro- 
zess (lean). Neue PPI können über die MIMs „inkubiert“, veraltete „in Quarantäne“ — 
oder „unter Beobachtung“ gestellt werden. Die Aufgabe einzelner Verfahren und 
Standrads ist kein „Scheitern“, sondern ein notwendiger Bestandteil im Prozess er- 
folgreicher Evolution. Kompromisse sind die Grundlage für starken Zusammenhalt 
und Voraussetzung für die breite Akzeptanz. Das Befreien von alten technischen 
Artefakten schafft neue Räume. 
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Es gibt grundsatzlich immer mehrere Bedeutungen und Interpretationen von Be- 
griffen. Eine gewisse Vereinheitlichung ist auch hier ein Prozess und es kommt darauf 
an, unterschiedliche Sichtweisen zu konsolidieren bzw. unterschiedliche Bedeutun- 
gen in verschiedenen Kontexten zuzulassen. Deshalb empfiehlt es sich, frühzeitig ei- 
nen „Glossar“ bzw. ein Vokabular anzulegen und die Unterschiede dabei zuzulassen. 
Erst im Verlaufe des Prozesses wird es zu einem konsensual besseren Verständnis von 
Begriffen kommen, bis hin zum „Nebeneinander“ von Perspektiven und Interpretatio- 
nen. Als Beispiel sei der Begriff „Plattform“ genannt, dessen individuelle Bedeutung 
je nach Kontext erheblich voneinander abweicht. „Unschärfen“ in solchen Unterfan- 
gen zuzulassen ist eine Notwendigkeit und bedarf einer oft salomonischen Haltung. 

Innovative, vorwettbewerbliche und innovative Beschaffungsmethoden sind not- 
wendig um Innovationen zu fördern und neue auszuprobieren. Das erfordert Mut von 
allen beteiligten Akteuren. Zusammenarbeit ist der Schlüssel zum Erfolg: Wettbewerb 
und Zusammenarbeit sind keine sich ausschließenden Wege zu mehr Konvergenz. 
PPIs bilden den notwendigen Handlungsrahmen. Bereichsübergreifende Lösungen 
werden auf der Seite der Nachfrager (Beschaffung) zu einer Priorität - Integration ist 
wirtschaftlich sinnvoll nur möglich mit Interoperabilität. Eine Möglichkeit um Sekto- 
ren, Märkte und Verkäufer zu befreunden, besteht darin, die Dinge einfach zu halten 
und auf eine zunächst minimale technische Zusammenarbeit abzuzielen - alles an- 
dere ergibt sich dann daraus. Alles ist „im Fluss“ und kein Anbieter oder keine tech- 
nische Lösung kann und sollte die ultimative Weisheit für sich beanspruchen. 


Nizar Abdelkafi und Knut Blind 

6 Standardisierung und Patentierung — 
Gleichwertige Instrumente in 
der Wissensökonomie? 


6.1 Einleitung 


Im Zuge der digitalen Transformation generieren Unternehmen enorme Datenvolu- 
men in allen Geschäftsprozessen. Diese Daten können analysiert und ausgewertet 
werden, um relevantes Wissen zu generieren, das in Produktinnovationen, neue in- 
telligente Dienstleistungen („Smart Services“), oder neue Geschäftsmodelle überführt 
werden kann. Als Konsequenz wird der immaterielle Anteil von Unternehmen stark 
wachsen. In einer wissensgetriebenen Ökonomie werden die physischen Assets eine 
geringere Rolle spielen als je zuvor. Dagegen wird Wissen eine besondere Bedeutung 
zukommen. Im Vergleich zu physischen Assets, hat Wissen besondere Eigenschaf- 
ten, die seinen Schutz nicht unbedingt leicht machen. Patentierung ist ein etablierter 
Schutzmechanismus des geistigen Eigentums. Das Patentsystem ist entstanden, um 
Erfindern für einen gewissen Zeitraum das exklusive Recht zu erteilen, vom eigenen 
Patent (Wissen) profitieren zu können. Patentierung ist ein Ansatz, der in der be- 
triebswirtschaftlichen Literatur oft diskutiert wurde. Aufgrund von Nachteilen des 
Patentsystems, ist Patentierung als Schutzstrategie in der Wissensökonomie oft nicht 
ausreichend. In diesem Kapitel werden deshalb neben der Patentierung die Normung 
und Standardisierung als weitere Instrumente für einen effizienten Umgang mit geis- 
tigem Eigentum in der Wissensökonomie vorgeschlagen. Für Unternehmen stellten 
sich dann folgende Fragen. Wann empfiehlt sich Patentierung, bzw. Normung und 
Standardisierung? Sind beide Instrumente als gleichwertig zu betrachten? 

Vor diesem Hintergrund ist dieses Kapitel wie folgt aufgebaut: Zunächst wird die 
Wissensökonomie kurz definiert und der Zusammenhang zwischen Wissen und In- 
novation erläutert. Anschließend werden die Themen Patentierung und Standardi- 
sierung behandelt. Der Hauptteil dieses Beitrags zeigt anhand von Beispielen, dass 
Normung und Standardisierung (neben Patentierung) durchaus ein wichtiges Instru- 
ment im Umgang mit geistigem Eigentum in der Wissensökonomie darstellen. Auf Ba- 
sis der Fallstudien werden schließlich Handlungsempfehlungen abgeleitet. Abschlie- 
ßend werden die wesentlichen Erkenntnisse des Beitrags zusammengefasst. 
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Wissen und Wissensökonomie 


Nach Moldaschl und Stehr (2010) bezeichnet die Wissensökonomie eine vom vierten 
Produktionsfaktor „Wissen“ geprägte Wirtschaft (neben Arbeit, Boden und Kapital als 
die drei traditionellen Produktionsfaktoren). Nach Foray (2004) stellt die Wissensöko- 
nomie eine Wirtschaft dar, in welcher der Anteil von wissensintensiven Jobs hoch ist, 
das wirtschaftliche Gewicht des Informationssektors einen wesentlichen Faktor dar- 
stellt und der Anteil von nicht physischen Kapital größer ist, als vom physischen Ka- 
pital. 

In der Wissensökonomie steht Wissen im Vordergrund. Wissen hat viele positive 
Eigenschaften. Es ist ein Gut, bei dem das Ausschlussprinzip nicht greift. Im Gegen- 
satz zu physischen Gegenständen, können mehrere Individuen gleichzeitig auf das- 
selbe Wissen zurückgreifen, ohne dass Abnutzungserscheinungen auftreten. Wissen 
ist auch kumulativ, da Wissen auf anderes Wissen aufbaut, wie z.B. in der Mathe- 
matik, wo aus vorhandenen Sätzen, durch logisches Denken, weitere Sätze abgeleitet 
werden können. Wissen stellt auch eine Form von Kapital dar, da Wissen zur Lösung 
von praktischen Problemen verwendet wird (Foray, 2004). 

Wissen hat aber auch negative Eigenschaften. Es kann vergessen werden. Wissen 
kann implizit sein und wird oft nicht schriftlich oder auf anderen Wegen festgehal- 
ten. Wissen ist auch „sticky“, d.h. es „klebt“ am Besitzer und kann teilweise nur mit 
großem Aufwand von Sendern zu potentiellen Empfängern übertragen werden. Dar- 
über hinaus ist notwendiges Wissen selten an einem einzigen Platz zu finden, sondern 
meistens über mehrere Individuen bzw. Organisationen verstreut (Foray, 2004). 

Wissen ist ein wesentlicher Bestandteil des Innovationsprozesses. Der Prozess der 
Umwandlung von Geld in Wissen kann als Forschung betrachtet werden. Hingegen ist 
das Ergebnis der Überführung von Wissen zu Geld ist Innovation. Da Wissen flüch- 
tig ist, besteht generell das Risiko der ungewollten Wissensverbreitung (Spillover). 
Das heißt, damit Unternehmen in die Lage versetzt werden, von ihren Innovationen 
profitieren zu können, müssen sie entweder das Wissen geheim halten, was äußerst 
schwierig sein kann, oder anderen verbieten, das Wissen zu nutzen. Deshalb ist es 
nicht selbstverständlich, dass Unternehmen von ihren eigenen Innovation bzw. vom 
eigenen Wissen profitieren können. 


Patente und Standards: Wesentliche Instrumente zur Monetarisierung von Wissen 


David Teece war einer der ersten Wissenschaftler, der sich mit der Frage auseinan- 
dergesetzt hat, warum Unternehmen von der eigenen Innovation bzw. vom eigenen 
Wissen nicht profitieren können. Er stellte fest, dass Nachahmer von einer Innovation 
durchaus mehr profitieren können, als die Innovatoren selbst. In der Literatur gibt es 
viele Beispiele von Innovationen, bei denen der First Mover — der Innovator — nicht 
derjenige war, der am Ende die Früchte seiner Innovation ernten konnte. Teece hat 
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dafür eine Erklärung. Entscheidend sind dabei drei Faktoren: das sogenannte Appro- 
priability Regime, das Dominant Design Paradigma und die komplementären Assets 
(Teece 1986). 

Das Appropriability Regime bezeichnet die Umweltfaktoren, wie z.B. die gesetz- 
lichen Regulierungen in einem Land oder einer Region. Diese Faktoren bestimmen 
den Grad des Schutzes für den Erfinder. In einem starken Regime werden Erfinder gut 
geschützt; in einem schwachen allerdings nicht. In Deutschland ist das Appropriabi- 
lity Regime sehr ausgeprägt und die Erfinder sind im Falle einer Patentverletzung gut 
geschützt. In machen Entwicklungsländern ist das Appropriability Regime schwach 
entwickelt und der Erfinder verfügt nicht über ausreichende Schutzrechte. 

Das Dominant Design Paradigma ist der zweite Faktor. Das Dominant Design be- 
zeichnet ein Design, das sich am Markt durchsetzt. Vor einigen Jahren gab es beispiels- 
weise einen sogenannten „Krieg“ um die Technologiedominanz (Suarez 2004) zwi- 
schen Sony und Toshiba, bei dem jedes der beiden Unternehmen das eigene Design 
zum Standard machen wollte: Blu-ray vs. DVD HD. Der Gewinner war Blu-ray. Somit 
wurde Blu-ray das Dominant Design (z. B. Tidd und Bessant 2013). 

Den komplementären Assets kommt eine wichtige Bedeutung zu. Beispiele für 
komplementäre Assets sind Distributionskanäle und Produktionsanlagen. Beispiels- 
weise kann ein Start-up, welches eine Innovation auf den Markt bringen möchte, 
durchaus scheitern, wenn die wichtigen komplementären Assets zur Vermarktung 
und Produktion der Innovation nicht vorhanden sind. Insgesamt ist festzuhalten, 
dass von den drei von Teece erkannten Faktoren, zwei mit dem Schutz durch Patente 
und mit der Etablierung von Standards zusammenhängen. 


Patentierung und Patente 


Das Patentsystem stellt einen wesentlichen Aspekt beim Schutz des eigenen Wissens 
dar. Damit eine Erfindung ein deutsches Patent erhalten kann, sind Voraussetzungen 
zu erfüllen, die sich aus § 1 Abs. 1 des Patentgesetzes ergeben: „Patente werden für 
Erfindungen auf allen Gebieten der Technik erteilt, sofern sie neu sind, auf einer er- 
finderischen Tätigkeit beruhen und gewerblich anwendbar sind“ (Bundesministerium 
der Justiz und für Verbraucherschutz). 

Patente haben einige Vorteile. Sie stellen einen offiziellen Schutz des geistigen Ei- 
gentums dar. Durch Patente bekommen Unternehmen ein temporäres Monopol und 
signalisieren eine gewisse Innovationsfähigkeit nach Außen, was sich positiv auf das 
Image auswirken kann. Patente können genutzt werden, um neue Märkte zu erschlie- 
ßen. Patente können für die Unternehmen Lizenzgebühren generieren, wenn die zu- 
grundeliegende Technologie an Dritte lizenziert wird, oder auch verkauft werden. Pa- 
tente sind allerdings auch mit Risiken verbunden. Patente müssen veröffentlicht wer- 
den und so bekommen Dritte Zugang zum enthaltenen Wissen. In vielen Fällen kann 
zudem eine Nachahmung nicht einfach festgestellt werden. Darüber hinaus können 


72 — 6 Standardisierung und Patentierung 


Wettbewerber die Patentansprüche umgehen. Die Kosten der Anmeldung und Auf- 
rechterhaltung von Patenten sind relativ hoch. Auch die Prozessdauer bis zur Ertei- 
lung der Patentrechte kann relativ lang werden, oft mit negativen Konsequenzen für 
die Dauer des tatsächlichen Schutzes, von dem der Erfinder profitieren kann (z.B. 
Brock und Blind 2018). Patentierung ist ein formeller Mechanismus, der trotz seiner 
Nachteile ein etabliertes und wesentliches Instrument darstellt, das von Unternehmen 
verwendet wird, um das eigene Wissen schützen zu können. 


Standardisierung und Standards 


Während Patentierung eine Entscheidung ist, die Unternehmen gut beeinflussen kön- 
nen (z.B. durch die Anmeldung eines Patents), ist die Etablierung eines Dominant 
Designs keine Entscheidung, die von Unternehmen ausreichend beeinflusst werden 
kann. Grund dafür sind die Markteinflüsse, die dabei eine Rolle spielen können. In 
der Innovationsliteratur steht das Dominant Design eher im Fokus, meistens in Ver- 
bindung mit den sogenannten Standard Wars (Shapiro und Varian 1999), wie z.B. 
Blu-ray vs. DVD-HD. Allerdings wird sehr selten über Normen und Standards disku- 
tiert, die mit der Unterstützung von Normungs- und Standardisierungsorganisationen 
generiert werden. Normen und Standards bzw. Normung und Standardisierung sind 
Produkte und Prozesse der Vereinheitlichung, wie zum Beispiel der ISO-Standard des 
Qualitätsmanagements und viele andere technische Standards. 

Ein Standard wird oft als die anerkannte Art und Weise etwas zu tun definiert (z.B. 
Kaumanns und Siegenheim 2009). Wie oben dargestellt, gibt es grundsätzlich zwei 
Typen von Standards: De-facto- bzw. marktbasierte Standards, wie die Dominant De- 
signs, und De-jure- bzw. gremienbasierte Standards. Der Unterschied besteht darin, 
dass De-jure-Standards von einer anerkannten Organisation, unter Konsensfindung 
in einem Gremium, erarbeitet werden, während dies bei De-facto-Standards nicht der 
Fall ist (siehe z.B. Brock und Blind 2018, Jakobs 2000). Wiegmann et al. (2017) er- 
gänzen diese Klassifikation mit den sogenannten staatsgetriebenen Standards. Die- 
se Standards werden vom Staat koordiniert, der seine Machtposition nutzt, um die- 
se durchzusetzen. Die Autoren zeigen allerdings auf, dass viele bekannte Standards 
das Ergebnis eines komplexen Prozesses sind, in dem unterschiedliche Standardisie- 
rungsmodi kombiniert wurden. Während USB und Wi-Fi die Ergebnisse einer markt- 
und gremienbasierten Standardisierung darstellen, sind GSM und TCP/IP der Output 
der Kombination einer staats- und gremienbasierten Standardisierung. 

Weiterhin können Standards anhand von vier Kategorien klassifiziert werden: 
Werksnormen, Industriestandards, Spezifikationen und Normen. Während Werks- 
normen und Industriestandards oft in den frühen Phasen des technologischen Ent- 
wicklungsprozesses ausgearbeitet werden, werden Spezifikationen und Normen eher 
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in den späten Phasen des Entwicklungsprozesses erstellt. Bei Werksnormen und In- 
dustriestandards ist der Konsensgrad gering, da nur ein einzelnes Unternehmen bzw. 
ein geschlossener Kreis von Unternehmen daran beteiligt ist. Spezifikationen und 
Normen weisen hingegen einen höheren Konsensgrad auf, da ein offener Experten- 
kreis an der Erstellung beteiligt ist. Der Prozess wird von einer Normungsorganisation, 
wie z.B. durch das Deutsche Institut für Normung e. V. (DIN) in Berlin, betreut und 
moderiert. Der Hauptunterschied zwischen Spezifikationen (SPECs) und Normen ist 
der Konsensgrad. An der Erstellung von SPECs nehmen weniger Experten teil und 
der Prozess ist wesentlich schneller. Einige SPECs stellen die Vorstufe einer Norm dar 
(Hartlieb et al. 2016). 

Während Patente das Wissen von einzelnen Unternehmen beinhalten, um Dritten 
das Recht einzuschränken, dieses Wissen zu verwenden, beinhalten Normen und Spe- 
zifikationen das Erfahrungswissen aus Industrie und Wissenschaft. Normen und Spe- 
zifikationen sind der breiten Masse zugänglich und können von allen Interessenten 
verwendet werden. Deshalb stellt sich die Frage, welche Vorteile Normung und Stan- 
dardisierung haben, vor allem da sich andere Unternehmen als Trittbrettfahrer ver- 
halten könnten. Für kleine und mittlere Unternehmen stellen Standardisierungs- und 
Normungsprozesse eine wichtige Wissensquelle für den eigenen Innovationsprozess 
dar, gerade wenn Forschungseinrichtungen aktiv beteiligt sind. Darüber hinaus könn- 
ten die in den Normen dargestellten Lösungen in die Regulierungen des Gesetzgebers 
fließen oder einen Beitrag zur Konkretisierung bestehender Regulierungen leisten. 
Ferner erleichtern Normen und Spezifikationen Unternehmen den Marktzugang für 
neue Produkte (Brock/Blind, 2018). Somit können Normen und Spezifikationen die 
Diffusion von Innovationen maßgeblich unterstützen (Abdelkafı und Makhotin 2014; 
Blind und Mangelsdorf 2016). 

Patentierung und Standardisierung erscheinen deshalb als gegensätzliche Instru- 
mente im Umgang mit geistigem Eigentum, welche von Unternehmen getrennt oderin 
Kombination genutzt werden können (Blind 2010; Blind und Thumm 2004). Wenn ein 
Unternehmen eine neue Technologie entwickelt hat, stehen mindestens drei Optionen 
zur Verfügung: (1) Ein Patent beim Patentamt anmelden, (2) in die Normung gehen, 
oder (3) die Technologie geheim zu halten. 

Patentierung stellt ein wesentliches Instrument für den Schutz geistigen Eigen- 
tums dar. Unternehmen, die einen Standard etablieren, können sich auch im Wettbe- 
werb durchsetzen. Daraus lassen sich folgende Fragen ableiten: 

- Wie sollen Unternehmen mit dem geistigen Eigentum umgehen? Sollten Unter- 
nehmen eher die Patentierung oder Standardisierung wählen? 

— Welches Instrument ist unter welchen Bedingungen besser bzw. inwieweit lassen 
sich die beiden Instrumente kombinieren? 

- Sind Patentierung und Standardisierung gleichwertige Instrumente? 
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6.2 Fallstudien 


Um diese Fragen zu beantworten, werden anhand von Fallstudien (Yin 2003) von rela- 
tiv jungen Unternehmen bzw. Start-Ups die Motive und Griinde nachgezeichnet, sich 
fiir das Patentieren oder Standardisieren von technologischen Innovationen zu ent- 
scheiden (Abdelkafi et al. 2016). Tabelle 6.1 zeigt eine Übersicht über die Fallstudien. 
Alle Namen der Unternehmen wurden anonymisiert. Die Unternehmen sind zwischen 
drei und 20 Jahre alt. Einige Unternehmen sind deshalb nicht mehr in der Start-up- 
Phase. Im Gegensatz zu großen Konzernen verfügen die meisten Unternehmen in den 
Fallstudien über beschränkte Ressourcen. Alle Unternehmen haben weniger als 50 
Mitarbeiterinnen und Mitarbeiter. Sie kommen aus Branchen wie IT-Dienstleistungen, 
Mess- und Prüftechnik, oder Funktechnologien. Einige Unternehmen haben nur Nor- 
mung, manche nur Patentierung ausgewählt. Viele hingegen haben beide Instrumen- 
te kombiniert. 

Im Folgenden wird nur auf drei Fallstudien ausführlich eingegangen. Diese Un- 
ternehmen sind DAWIS, ein IT-Dienstleister, das Unternehmen REDS, ebenfalls ein IT- 


Tab. 6.1: Durchgeführte Fallstudien (Quelle: Eigene Darstellung basierend auf Abdelkafi et al. 
(2016)). 


Unter- Alter Mit- Technologie/ Gewählte Anzahl der Weitere Informati- 
nehmen arbeiter- Branche Instrumente Interviews onsquellen 
anzahl 
1(DAWIS) 9 <25 IT-Dienstleistung DIN SPEC 2 Website, Vor-Ort- 
Beobachtung 
2 (TOSK) 6 <10 Innovationsberatung DIN SPEC 1 Website 
3(MOFT) 10 <10 IT-Dienstleistung DIN SPEC 2 Website, 
Veröffentlichungen 
4 (ACEL) 7 <50 IT-Dienstleistung Normung 1 Website 
(passive 
Partizipation) 
5 (REDS) 9 <10 IT-Dienstleistung Patentierung 1 Website 
6 (ASYM) 3 <10 Mess- und DINSPEC und 2 Website 
Prüftechnik Patentierung 
7 (AZUR) 5 <10 Mess- und DIN SPEC und Website, 
Prüftechnik Patentierung Veröffentlichungen 
8(NANT) 20 <25 Funktechnologie Normung und Website, 
Patentierung Veröffentlichungen 
9 (WINSE) 5 <5 Funktechnologie Normung und Website, Firmen- 
Patentierung präsentationen 
10(QAGO) 10 <10 Funktechnologie Normung und Website 


Patentierung 


6.2 Fallstudien — 75 


Dienstleister und das Unternehmen NANT aus dem Bereich Funktechnologie. DAWIS 
hat nur Normung und Standardisierung als Instrument angewandt; REDS nur Paten- 
tierung, während NANT die beiden Instrumente miteinander kombiniert hat. 


Einzelfallstudienanalyse 
DAWIS 


DAWIS bietet individualisierte IT-Dienstleistungen und IT-Consulting im Sicherheits- 
bereich an. Das Unternehmen hat eine eigene Rechenzentrumslösung für IT-Sicher- 
heit entwickelt. Für diese Lösung hat DAWIS eine DIN-SPEC veröffentlicht und sich 
deshalb bewusst gegen ein Patent entschieden. Ein wichtiger Entscheidungsgrund ge- 
gen Patentierung ist idealistischer Natur. Der Entscheidungsträger (CEO) beschreibt 
seine grundsätzliche Einstellung wie folgt: „Das wäre irgendwie fast schon gemein, 
das zu patentieren und das allen vorzuenthalten.“ 

Dem Unternehmen ist auch bewusst, dass Patentverletzungen schwer zu über- 
prüfen sind: „Patente sind nur so viel Wert, wie man sie einklagen kann.“ (CEO von 
DAWIS) Außerdem, hätte sich DAWIS für ein Patent entschieden, dann wäre es dem 
Unternehmen im Falle einer Patentverletzung schwergefallen nachzuweisen, dass 
Dritte das Patent verletzt haben. Hier geht es um eine (Prozess-)Technologie, die im 
Backoffice Anwendung findet und die von außerhalb der Organisation nicht zu sehen 
ist. 

Der CEO vom Unternehmen war gegenüber Normen und Standards positiv einge- 
stellt, hatte aber — bevor ein externer Berater darauf hinwies — keine Kenntnisse über 
DIN SPECs. Die DIN-SPEC war das richtige Instrument aufgrund der relativ geringen 
Kosten und der kurzen Erstellungsdauer. Wegen der hohen Innovationsgeschwindig- 
keit in der Branche wollte das Unternehmen ein Instrument auswählen, das schnell 
anzuwenden ist. Im Vergleich zum DIN-Normungsverfahren, welches hohes Konsens- 
niveau erfordert, ist die DIN SPEC relativ schnell zu generieren: „Wir mussten das so 
machen, weil das normale DIN-Verfahren drei Jahre dauert. [...] Wenn wir da jetzt 
noch drei Jahre für den Veröffentlichungsprozess bräuchten, dann ist die Gefahr rela- 
tiv hoch, dass man damit irgendwie viel zu spät releast oder das nochmal überarbeiten 
muss.“ (CEO von DAWIS) 

DAWIS hat sich mit der Veröffentlichung der DIN-SPEC erhofft, Reputation aufzu- 
bauen, erhöhte Sichtbarkeit am Markt zu erzielen und eine Verbreitung der Techno- 
logie zu realisieren. Durch die Veröffentlichung der DIN SPEC hat DAWIS zusätzliche 
Anfragen zum entwickelten Verfahren generiert, die ohne die DIN-SPEC unmöglich zu 
erzielen gewesen wären. Außerdem hat das Unternehmen nun mit der DIN-SPEC eine 
verbesserte Verhandlungsposition gegenüber Kunden erreicht, da DAWIS gut argu- 
mentieren kann, dass seine Technologie einem DIN-Standard entspricht. Außerdem 
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konnten neue Services rund um die Beratung zur Erarbeitung der DIN-SPEC angebo- 
ten werden. 

Wie wäre DAWIS vorgegangen, hätte das Unternehmen von der DIN SPEC nichts 
erfahren? DAWIS hätte die Technologie verkauft, denn zum Zeitpunkt gab es ein kon- 
kretes Angebot von einem amerikanischen Unternehmen. Dies hätte dazu geführt, 
dass die damit verbundenen Arbeitsplätze in den USA und nicht in Deutschland ent- 
standen wären. 


REDS 


REDS bietet eine Sicherheitssoftware zum Schutz von sicherheitskritischen Anwen- 
dungen und hochvertraulicher Kommunikation an. REDS hat zwei Patente angemel- 
det, um die darunterliegenden Verfahren zu schützen. REDS ist ein Unternehmens- 
beispiel, das nur Patentierung als Instrument ausgewählt hat. Ziel ist es, das eigene 
geistige Eigentum als Alleinstellungsmerkmal zu sichern und ein Image als innova- 
tives Unternehmen aufzubauen (Signalling-Effekt). Für ein kleines Unternehmen mit 
begrenzten Ressourcen wie REDS, ist es allerdings nicht selbstverständlich, dass Pa- 
tente tatsächlich einen Mehrwert liefern, insbesondere, wenn Dritte die Patentrechte 
verletzen. Die Kosten der Gerichtsverfahren sind häufig so hoch, dass sich kleine Un- 
ternehmen oftmals gegen einen Rechtsstreit entscheiden. REDS hat aber aufgrund von 
internen Ressourcen eine andere Meinung dazu: „Wir sind ein Team von drei Anwäl- 
ten und das Einklagen fällt uns leicht. Wir würden auch die Mittel einlegen, die wir 
einlegen müssen.“ 

REDS hat sich auch überlegt, die der Software zugrundeliegenden Verfahren in 
anderen Regionen patentieren zu lassen. Das ist aber äußerst problematisch, vor al- 
lem wegen der hohen Kosten, die damit verbunden sind, wie z. B. die Übersetzungs- 
kosten und die Patenanmeldungskosten im Ausland. 


NANT 


NANT vertreibt Soft- und Hardware zur Lokalisierung und Identifizierung von Perso- 
nen und Objekten sowie für die Installation von intelligenten Sensornetzen. NANT hat 
Normung und Patentierung miteinander kombiniert. Mindestens drei interne Gründe 
haben dazu geführt, dass NANT nicht nur Patente, sondern beide Instrumente einge- 
setzt hat. Erstens hatte NANT einige Patente angemeldet und wollte anschließend die 
enthaltenen Technologien und Lösungen zum Standard machen, damit eine hohe Ver- 
breitung erreicht werden kann. Zweitens hat sich NANT im Laufe der Zeit von einem 
Ingenieur-Dienstleister hin zum Produzenten entwickelt, dessen Produkte normen- 
konform sein müssen. Drittens kennt der CEO von NANT aufgrund seiner Erfahrung 
mit Normen und Standards deren spezifischen Vorteile sehr gut. 
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Auch einige externe Faktoren waren fiir die Entscheidung der Kombination von 
Patentierung mit Normung und Standardisierung relevant. In der Funktechnikbran- 
che, in der das Unternehmen zu verorten ist ,,[...] gibt es keine Alternative“ (CEO von 
NANT). Ohne Beteiligung in der Normung und Standardisierung ware das Unterneh- 
men nicht in der Lage, Erfolge zu verzeichnen. Das hohe thematische Interesse ande- 
rer Stakeholder an einer internationalen Norm ist auch ein zusätzlicher Aspekt. Bei 
der Umfrage von ISO (Internationale Organisation fiir Normung) haben sich gleich 
zwölf Länder bereit erklärt, bei der Entwicklung des Standards von NANT mitzuwir- 
ken. 

Für NANT bringt Patentierung einige Vorteile mit sich. Patente gewährleisten den 
Schutz des eigenen Technologie-Know-how und unterstützen das Unternehmen bei 
der Akquise von Investoren. Patente sind immer eine wichtige Voraussetzung für die 
Entscheidung von Investoren, ob sie in das Unternehmen investieren wollen oder 
nicht. Der CEO merkte dazu an: „Patente braucht man allgemein, wenn ich meine 
Investoren suche. Bis jetzt habe ich es noch nicht so richtig geschafft, Investoren 
dafür zu begeistern, dass ich eine Norm vorangetrieben habe.“ Mit Patenten gene- 
riert NANT Einnahmen durch Lizenzgebühren, insbesondere durch die sogenannten 
Standard Essential Patents (SEPs), d. h. Patente, die in den Standards zitiert werden. 
SEPs sind insofern interessant, dass kein Dritter den Standard umzusetzen darf, ohne 
dass Patentlizenzen gekauft werden. Die Lizenzierung der Patente soll allerdings zu 
FRAND-Bedingungen erfolgen. FRAND steht für Fair, Reasonable and Non-Discrimi- 
natory (fair, angemessen und diskriminierungsfrei). 

Durch die Normung besteht für NANT die Möglichkeit, ein internationales Netz- 
werk aufzubauen. Normung setzt Konsens voraus und führt dazu, dass viele Inter- 
essenten mit unterschiedlichen Perspektiven zusammenfinden. Dies ermöglicht den 
Wissenstransfer. Wichtiges Wissen von anderen Teilnehmenden kann aufgenommen 
und in das eigene Unternehmen getragen werden. Die Normungsarbeit hat auch NANT 
dazu verholfen, einen globalen Standard zu etablieren und relevante Märkte im Aus- 
land zu identifizieren. Außerdem ist der Effekt auf das Image erheblich, da NANT mit 
Normen Qualität, Sicherheit und Zuverlässigkeit nach Außen signalisieren kann. 


Vergleichende Fallstudienanalyse 


Während DAWIS die DIN SPEC als Instrument ausgewählt hat, um eine Verbreitung 
der Technologie sowie die Entwicklung neuer Services im Sinne von Beratung zu er- 
möglichen, meldete REDS Patente an, um vor allem Exklusivitätsrechte zu sichern und 
sich im Markt zu differenzieren. NANT hingegen hat eine Mixstrategie verfolgt, die 
Normung und Patentierung kombiniert. Für NANT sind Standards aufgrund der ei- 
genen Branche (Funktechnik) unabdingbar und relevant zur Verbreitung der eigenen 
Patente. Es besteht auch Komplementarität zwischen Patentierung und Standardisie- 
rung. Patente sind für NANT höchstrelevant, da sie die Exklusivitätsrechte sichern, 
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Tab. 6.2: Vergleichende Fallstudienanalyse von DAWIS, REDS und NANT (Quelle: Eigene Darstellung 
basierend auf Abdelkafi et al. (2016)). 


Normung und Standardisierung Patentierung 


DAWIS - Verbreitung der Technologie 
- Entwicklung neuer Services 
(Beratung/Zertifizierung) 


REDS - Sicherung der Exklusivitätsrechte 
- Differenzierung (USP) 
NANT - Erfüllung der wichtigen Voraussetzung - Sicherung der Exklusivitätsrechte 
zur Markteinführung - Generieren von Lizenzeinnahmen 
- Verbreitung der Technologie und (besonders durch SEPs - Standards 
dazugehöriger Patente Essential Patents) 


- Erhöhung der Attraktivität für Investoren 


Lizenzeinahmen generieren, insbesondere in Kombination mit Standards und zudem 
die Attraktivität für Investoren erhöhen (Tabelle 6.2). 

Dies zeigt, dass Patente und Standards durchaus gleichwertige und komplemen- 
tare Instrumente sein können, die von Unternehmen einzeln oder in Kombination ver- 
wendet werden können, um vom eigenen Wissen, bzw. von der eigenen Innovation 
effektiv profitieren zu können. 


6.3 Handlungsempfehlungen 


Um Unternehmen bei der Entscheidungsfindung zu unterstützen, obsieNormung und 
Standardisierung, Patentierung oder eine Kombination umsetzen sollten, wurde ein 
praktisches Instrument - ein Entscheidungsbaum - entwickelt (Abdelkafi et al. 2016). 
Dieser Entscheidungsbaum hat vier Ebenen, die auf Entscheidungskriterien basieren, 
die aus den Fallstudien hervorgehen. Auf der ersten Ebene des Entscheidungsbaums 
stellt sich die Frage, ob die Technologie überhaupt patentierbar ist. Die zweite Fra- 
ge beschäftigt sich mit der Relevanz des Schutzes von internem Know-how für das 
Unternehmen. Die dritte Frage bezieht sich auf das Bedürfnis von Unternehmen, mit 
zusätzlichen Netzwerkpartnern in Kontakt zu kommen und die letzte Frage ist mit der 
technologischen Entwicklungsgeschwindigkeit am Markt verbunden (Abbildung 6.1). 

Im Folgenden wird zunächst auf die linke und anschließend auf die rechte Hälf- 
te des Entscheidungsbaums eingegangen. Die linke Hälfte des Entscheidungsbaums 
ergibt sich bei einer patentierbaren Technologie. Nach Prüfung der Patentierbarkeit, 
stellt sich die Frage, ob der Schutz von internem Know-how für das Unternehmen 
wichtig ist. Wenn dies der Fall ist, dann lassen sich Patentierung oder Geheimhaltung 
empfehlen. Beispielsweise für REDS war die Sicherstellung der Exklusivitätsrechte 
von großer Bedeutung. Außerdem besteht das Führungsteam aus Anwälten, denen 
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das Einklagen leichtfallen wiirde. Wenn der offizielle Schutz des geistigen Eigentums 
in den Hintergrund tritt, dann eignen sich Normung und Standardisierung. Zum Bei- 
spiel fiir DAWIS war der Schutz des geistigen Eigentums nicht von höchster Priorität. 
Das Unternehmen wollte Dritten sein Wissen über die entwickelte IT-Lösung nicht 
vorenthalten. Außerdem wäre das Unternehmen aufgrund ihrer knappen finanziel- 
len Mittel nicht in der Lage gewesen, einen Rechtsstreit einzugehen, sollten Dritte die 
unternehmenseigenen Patente verletzt haben. Patentierung kann in solchen Fällen 
für Signalwirkung genutzt werden, damit das Unternehmen die eigene Innovations- 
fähigkeit nach Außen signalisieren kann. Es ist auch möglich, die beiden Instrumente 
intelligent miteinander zu kombinieren, wie im NANT-Fallbeispiel. Für NANT haben 
sich die Patente gelohnt, da sie dadurch Investoren gewinnen und Lizenzgebühren 
generieren können. Standardisierung wäre in der Funktechnologiebranche nicht zu 
umgehen. NANT konnte durch Normung und Standardisierung das Kontaktnetzwerk 
vergrößern. Deshalb empfiehlt es sich für Unternehmen, die das eigene Netzwerk von 
Nutzern, Kunden und Anwendern erweitern möchten, sich aktiv an den Normungs- 
und Standardisierungsgremien zu beteiligen, wobei sich DIN SPECs besser eignen, 
wenn sich der Markt schnell verändert. Bei geringer Dynamik sind Normen allerdings 
besser. Der Hauptgrund besteht darin, dass die Erarbeitung von Normen grundsätz- 
lich aufgrund des hohen Konsensgrads eine längere Erstellungszeit als die DIN SPECs 
benötigt. Hohe Innovationsgeschwindigkeiten in der Branche machen deshalb die re- 
lativ schnell zu erarbeitenden DIN SPECs viel attraktiver, wie im Falle von DAWIS. 
Sollte das Bedürfnis an zusätzlichen Netzwerken nicht vorhanden sein, dann muss 
das Unternehmen im Einzelfall prüfen, ob Normung und Standardisierung von Vor- 
teil sind. 

In der rechten Hälfte des Entscheidungsbaums ist die Technologie nicht paten- 
tierbar. Trotzdem kann der Schutz von internem Know-how für das Unternehmen re- 
levant sein. In diesem Fall ist Geheimhaltung die beste Option. Ähnlich wie in der 
ersten Hälfte macht der Bedarf an zusätzlichen Netzwerken Normung und Standar- 
disierung interessant. Ist dies nicht der Fall, muss im Einzelfall geprüft werden, ob 
Normung und Standardisierung sinnvoll sind. Wie bereits erläutert, eignen sich DIN 
SPECS besser als Normen, wenn die Entwicklungsgeschwindigkeit am Markt hoch ist 
und vice versa. 


6.4 Ausblick 


Der effektive Umgang mit geistigem Eigentum stellt ein besonders wichtiges Thema in 
der Wissensökonomie dar. Dieser Beitrag zeigt, dass Unternehmen bei der Entwick- 
lung von technologischen Innovationen nicht nur Patentierung, sondern zusätzlich 
auch Normung und Standardisierung in Betracht ziehen sollten. 

In der Wissensökonomie sind Normung und Standardisierung von den Unterneh- 
men proaktiv voranzutreiben. Der Entscheidungsbaum identifiziert die wesentlichen 
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Faktoren, die bei der Entscheidungsfindung eine Rolle spielen können. Normung und 
Standardisierung lassen sich durch sogenannte Standards Essential Patents (SEPS) 
auch gut kombinieren. Es gibt neben den SEPs auch weitere intelligente Möglichkei- 
ten der Kombination von Normen und Patenten. Beispielsweise hat ein Unternehmen, 
das in diesem Beitrag nicht erwähnt wurde, ein Verfahren zur optischen Messung 
von Tropfen und Partikeln entwickelt. Dieses Verfahren findet z. B. bei automatisier- 
ten Lackierungsprozessen in der Automobilindustrie Anwendung. Das Unternehmen 
hat das Verfahren an sich standardisiert (DIN-SPEC) und zudem die eigenentwickel- 
te Technologie patentiert. Wollen nun Dritte Lösungen umsetzen, die dem Standard 
entsprechen, müssen sie entweder eine neue Technologie entwickeln oder die vorhan- 
dene patentierte Technologie beim Patenteigner lizensieren. 

In Zukunft könnten weitere Möglichkeiten der Kombination von Normen bzw. 
Standards und Patenten identifiziert werden. Außerdem wird es eine große Herausfor- 
derung in der Wissensökonomie sein, dass Unternehmen Ansätze für den Schutz von 
Geschäftsmodellen im Gegensatz zum Schutz von Technologien an sich entwickeln. 
Dafür sind viele Forschungsarbeiten sowie wissenschaftlich basierte Werkzeuge und 
Methoden notwendig. Der Kombination von Patentierung und Standardisierung als 
gleichwertige Instrumente wird dabei eine wichtige Bedeutung zukommen. 


Tim Pohlmann 
7 Das Zusammenspiel zwischen Patenten 
und Standards 


7.1 Einleitung: Das Zusammenspiel von Patenten und Standards 


Märkte der Informations- und Kommunikationstechnologien (IKT) - Märkte sind 
gekennzeichnet durch kurze Produktlebenszyklen und eine schnelle Technologieent- 
wicklung. Dabei konkurrieren Firmen auf mehreren Marktebenen hinsichtlich ihrer 
Technologien, Produkte und Dienstleistungen. IKT — Produkte sind oft technisch von- 
einander abhängig oder funktionieren unabdingbar zusammen. Grundlegend für die 
Entwicklung vieler Produkte in der IKT-Branche sind Technologiestandards. Diese 
spezifizieren eine gemeinsame Sprache, damit unterschiedliche Technologien bzw. 
Technologiekomponenten miteinander kommunizieren und interagieren können. 
Standardisierte Technologien wie 4G/5G, WLAN, HEVC, NFC, RFID oder Bluetooth 
werden aller Voraussicht nach einen wichtigen Beitrag zur nächsten technologischen 
Revolution der Industrie 4.0, Smart Services und Internet of Things (IoT) beisteuern 
(Pohlmann 2017). In dieser Hinsicht werden sogenannte standardessentielle Patente 
(SEPs) zunehmend Gegenstand lebhafter Debatten zwischen Marktbeobachtern, po- 
litischen Entscheidungsträgern und Regulierungsbehörden. Das Zusammenspiel von 
Patenten und Technologiestandards hat in den letzten Jahren vermehrt zu gericht- 
lichen Patentstreitigkeiten geführt. Dabei ist die rechtliche Auslegung der Lizenzie- 
rungskonditionen nicht immer eindeutig, die Lizensierung über Patentpools oftmals 
langwierig und die Statuten der Standardisierungsorganisationen (Standard Setting 
Organizations — SSOs) beschreiben nicht selten unterschiedliche Anforderungen. Si- 
tuationen, in denen bei der Implementierung eines Standards ein Patent verletzt wird, 
stellen Gerichte, Kartellämter und Standardorganisationen vor komplexe rechtliche 
Herausforderungen (Pohlmann 2016). Es stellt sich die Frage, unter welchen recht- 
lichen Rahmenbedingungen Patente in Standards innovationsfördernd wirken oder 
eine Blockade für die Entwicklung neuer Technologien und Produkte darstellen. Ak- 
tuelle Umfrageergebnisse zeigen, dass Unternehmen bezüglich der Lizensierung von 
standardessentiellen Patenten eine gewisse Rechtsunsicherheit empfinden. Proble- 
matisch wird im Besonderen die fehlende Transparenz bezüglich der Offenlegung von 
standardessentiellen Patenten, der konkreten Bedeutung der Lizenzbedingungen so- 
wie die rechtliche Handhabung der Patentdurchsetzung gesehen (Blind und Pohl- 
mann 2014). In der Tat ist wenig über die Gesamtzahl der standardessentiellen Patente 
bekannt, die in den zahlreichen Standardisierungsorganisationen deklariert wurden. 


https: //doi.org/10.1515/9783110629057-007 
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7.2 Standardisierung und Patente fiir Informations- 
und Kommunikationstechnologien 


Die Teilnehmer der Standardisierung und Normung sehen sich vor allem mit zwei 
großen Herausforderungen konfrontiert (Baron et al. 2014). Erstens ist die Standar- 
disierung kostenintensiv und zunehmend auf eine Vielzahl von Organisationen und 
Länder verteilt. Zweitens sind standardisierte Technologien in der Kommunikations- 
technologie in vielen Fällen durch Patente geschützt. Diese so genannten standard- 
essentiellen Patente unterliegen einem neuen und anderen rechtlichen Rahmen, der 
über die Rechte des regulären Patentrechts hinausgeht. Im Bereich der Informations- 
und Kommunikationstechnologie (IKT) ist die Standardsetzung nicht mehr nur ei- 
ne bloße Spezifikation von Kompatibilitätsstandards, sondern eine gemeinsame Ent- 
wicklung hochentwickelter Technologien. Daher bilden Standards häufig eine gro- 
ße Anzahl von innovativen Technologien ab, die hochgradig patentiert sind (Baron 
und Pohlmann 2013). 4G/5G sorgen für die Kommunikation von Mobiltelefonen und 
Smartphones. Der Wi-Fi-Standard bietet eine drahtlose Verbindung zu lokalen Inter- 
net-Hosts. CD, DVD oder Blu-Ray garantieren, dass Decoder oder Player Discs lesen, 
um Filme auf Fernseh- oder Computerbildschirmen zu sehen, und der HEVC-Standard 
ermöglicht das Abspielen von Videos in hoher Qualität in komprimierten Datenfor- 
maten auf mehreren Geräten. Der zunehmende Bedarf an Interoperabilität geht ein- 
her mit einer zunehmenden Verfeinerung der Technologiestandards. In diesem Zu- 
sammenhang ist die Standardsetzung in Bezug auf Forschungs- und Entwicklungs- 
aktivitäten viel anspruchsvoller geworden. Standardessentielle Patente spielen eine 
wichtige Rolle in der Normung und Standardisierung, da sie Anreize für Unternehmen 
schaffen, Technologien für Standards zu entwickeln und zu Standardisierungsbemü- 
hungen beizutragen. Standardisierung bedeutet eine kostspielige private Investition 
in ein Öffentliches Gut. Aufgrund dieser Externalität sind Standardhersteller mitunter 
überfordert, Standards zu entwickeln und zu verbessern. Die Aussicht, ihre patentier- 
te Technologie in technologische Standards zu integrieren, ist ein wichtiger Anreiz für 
Unternehmen, ihre Investitionen in die Standardisierung zu erhöhen. Außerdem ha- 
ben Patentinhaber ein stärkeres Figeninteresse, in Verbesserungen bestehender Stan- 
dards zu investieren, wenn sie die Kosten durch Lizenzgebühren wieder hereinholen 
können. 


7.3 Patente und Standards: Offenlegung, Lizenzen, 
Patentstreitigkeiten und rechtspolitische Diskussionen 


Patente sollen Anreize zur Investition in Forschung und Entwicklung geben. Stan- 
dards dienen als gemeinsame Plattform, damit technologische Innovationen zusam- 
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men funktionieren können (Simcoe 2012). Patentierung wie auch Standardisierung 
fördern somit gemeinsam Innovationen, aber auf Basis verschiedener Wirkungswei- 
sen. Das Zusammenspiel von Patenten und Standards kann aber auch zu Problemen 
führen. Ziel der Standardisierung ist die Verbreitung und der Zugang zu Technologien. 
Dabei sollen standardisierte Technologien weltweit adaptiert werden, damit innovati- 
ve Lösungen miteinander funktionieren bzw. im IKT-Kontext kommunizieren können. 
Patente hingegen gewähren dem Schutzrechthalter ein temporäres Monopol für eine 
Technologie, um Dritte von der Nutzung auszuschließen. Während Standards auf ei- 
ne breite Anwendung zielen, können Patente genau diese verhindern (Simcoe et al. 
2009). 

Standardisierungsorganisationen wie auch Kartellämter haben das Problem wie 
folgt gelöst: In der Auffassung des Kartellrechts beschreibt die Lizensierung eines für 
einen Standard relevantes Patent einen isoliert zu betrachtenden Markt (Lemley und 
Shapiro 2006). Da eine industrieweit genutzte standardisierte Technologie ohne die 
Verletzung des Patents nicht genutzt werden kann, hat der Patenthalter eine Mono- 
polstellung für diese Technologie inne. Ist ein Unternehmen an der Standardisierung 
einer Technologie beteiligt, verpflichtet es sich explizit standardessentielle Patente an 
Dritte zu lizensieren. Damit der Patenthalter jedoch keine Monopolpreise verlangen 
kann, ist die Lizensierung an so genannte FRAND (Fair, Reasonable and Nondiscrimi- 
natory) - Bedingungen gebunden (Lemley 2002). 

„Fair“ bedeutet, dass nur Patente lizensiert werden können, die bei einer Imple- 
mentierung des Standards verletzt werden. Patente, die andere Technologien schüt- 
zen, dürfen nicht mit standardessentiellen Patenten gebündelt werden (bundling). 
Weiterhin darf ein standardessentielles Patent nicht als Druckmittel für den Zugang zu 
anderen Patenten des Lizenznehmers verwendet werden (grant-backs) oder als Druck- 
mittel zur Restriktion der Geschäfte mit Wettbewerbern (mandatory exclusivity) miss- 
braucht werden (Blind und Pohlmann 2014). 

Die Bedingung einer verhältnismäßigen, sprich „Reasonable“-Lizenz, stellt wohl 
rechtlich die größte Herausforderung dar und wird in der Industrie wie auch von Re- 
gulierungsinstitutionen kontrovers diskutiert. Wenn mehrere Patente zur Implemen- 
tierung eines Standards lizensiert werden müssen, wird der aggregierte Lizenzbetrag 
betrachtet. Im Fachjargon spricht man daher von einer Stapelung der Lizenzgebühren 
(royaltystacking). Dabei handelt es sich oftmals um einen Prozentsatz des Umsatzes 
eines Produktes. Fraglich ist jedoch, ob sich der Umsatz auf eine Technologiekompo- 
nente, ein System oder ein Endprodukt beziehen sollte. Dabei kann der zu zahlende 
prozentuale Lizenzbetrag bei einem LTE-fähigen Auto beispielsweise entsprechend 
höher ausfallen, als bei einem LTE-fähigen Smartphone. Lizenzgebühren sollten da- 
bei den inkrementellen Wert im Vergleich zur nächstbesten technischen Alternative 
nicht überschreiten. Dieser eher theoretische Ansatz lässt jedoch viel Spielraum für 
Interpretationen. Nicht selten streiten Unternehmen über die Höhe von Lizenzgebüh- 
ren und somit darüber, was eine angemessene FRAND-Gebühr in einem konkreten 
Anwendungsfall bedeutet (Blind und Pohlmann 2014). 
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Nicht diskriminierend, „non-discriminatory“, bezieht sich auf die Lizenzrate, wie 
auch auf die Lizenzbedingungen und beinhaltet die Gleichbehandlung aller Lizenz- 
nehmer. Dies bedeutet jedoch nicht, dass die tatsächlich zu zahlende Lizenzgebühr 
für alle Lizenznehmer gleich hoch sein muss. Wichtig ist vielmehr die Chancengleich- 
heit aller Wettbewerber. Wenn ein Unternehmen ein Patent als standardessentiell of- 
fenbart und sich weigert, entsprechende FRAND-Lizenzbedingungen zu unterzeich- 
nen, wird die Standardisierungsorganisation in der Regel den Standard unter Aus- 
schluss der geschützten Technologie spezifizieren. Das sind jedoch Situationen, in 
denen der Halter von standardessentiellen Patenten nicht an der Standardisierung 
beteiligt war und sich somit nicht zu FRAND-Bedingungen verpflichten musste. Wei- 
terhin sind die Fälle kompliziert, in denen standardessentielle Patente an dritte Un- 
ternehmen verkauft wurden, die sich ebenfalls nicht zu einer FRAND-Lizensierung 
verpflichtet haben (Blind und Pohlmann 2014). 

Standardessentielle Patente haben eine besondere Stellung zu einem Technolo- 
giestandard, da sie Marktmacht entfalten und zu exklusiven Effekten führen können. 
Auch wenn die Standardisierung mit komplexen Lizenzvereinbarungen einhergehen 
kann, sind die Regeln für die Lizenzierung essentieller Patente, die für einen gemein- 
samen Standard unerlässlich sind, oft unklar und können Gegenstand komplexer 
Diskussionen sein. Dennoch werden FRAND-Verpflichtungen häufig als wichtiges 
Instrument zur Bekämpfung wettbewerbswidriger und missbräuchlicher Strategien 
angesehen. Die Kartellbehörden haben FRAND-Verpflichtungen als ein Mittel ge- 
gen mögliche Wettbewerbsrisiken der Standardisierung bezeichnet. Das Kartellrecht 
interpretiert die Lizenzierung essenzieller Patente zu einem eigenen Markt. Unter be- 
stimmten Umständen würde ein Unternehmen, das ein essentielles Patent besitzt, auf 
diesem Markt eine beherrschende Stellung einnehmen. Der Beklagte hat das Recht, 
eine Lizenz zu FRAND-Bedingungen zu erhalten, die zur Verteidigung in Vertrags- 
verletzungsverfahren herangezogen werden kann. Besondere Regeln bestehen auch 
hinsichtlich der Möglichkeit, während eines Gerichtsverfahrens eine einstweilige Ver- 
fügung zu beantragen. Standardorganisationen legen Listen von Patenten offen, die 
von Standardteilnehmern als Standard deklariert wurden. 

Obwohl die Standardisierung oft in Zusammenhang mit Lizenzvereinbarungen 
steht, sind die Statuten der Standardisierungsorganisationen für die Lizenzierung 
standardessentieller Patente nicht immer eindeutig (Simcoe 2007). Dies führt nicht 
selten zu komplexen Diskussionen oder in Härtefällen zu gerichtlichen Auseinander- 
setzungen oder sogar zu Interventionen von Regulierungsbehörden. Beispielsweise 
muss ein Halter eines für einen Standard relevanten Patents sich lediglich dazu be- 
reit erklären, Lizenzverhandlungen unter FRAND-Bedingungen einzugehen. Einen 
konkreten Lizenzbetrag muss er jedoch nicht formulieren; dieser wird erst nach der 
Nutzung des Patents in bilateralen Lizenzverhandlungen festgelegt. Andersherum 
müssen Lizenznehmer sich oftmals nur generell dazu bereit erklären, Lizenzen zu 
zahlen. Die eigentliche Zahlung können sie jedoch hinauszögern oder sogar gericht- 
lich anfechten. Somit entsteht nicht nur eine gegenseitige Unsicherheit über die Höhe 
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der Lizenzzahlung, sondern auch darüber, ob überhaupt eine Gebühr bezahlt wird 
(Simcoe et al. 2009). Dennoch werden FRAND-Verpflichtungen häufig als ein wich- 
tiges Instrument gesehen, um wettbewerbswidrigem Verhalten Einhalt zu gebieten. 
Kartellbehörden bezeichnen FRAND-Verpflichtungen als Heilmittel, um den Risiken 
potenzieller Wettbewerbsvorteile in der Standardisierung entgegenzutreten. 


7.4 Offenlegung Standard Essentieller Patente 


Viele SSO verlangen die Offenlegung von SEPs. Die Offenlegung basiert in der Regel 
auf dem guten Glauben und den persönlichen Kenntnissen des Unternehmensvertre- 
ters, der die Erklärung abgibt, da die SSO keine Überprüfung der Behauptung durch- 
führen, dass ein Patent tatsächlich Standard essentiell ist (Rysman und Simcoe 2008; 
Pohlmann 2016). Die Datenerhebung der offengelegten SEPs beruht auf den von den 
SSOs veröffentlichten Informationen und unternimmt keinen Versuch, die Richtigkeit 
der Wesentlichkeitserklärung selbst zu überprüfen. In keinem Fall können einzelne 
SEP-Erklärungen als Beweis für die tatsächliche Standard-Wesentlichkeit der ange- 
meldeten Patente verstanden werden. Dennoch sind SEP-Erklärungen in der Regel die 
einzige umfassende und systematische Informationsquelle, die nicht nur dem For- 
scher, sondern auch Wirtschaftsakteuren zur Verfügung steht, die an dem Standard 
interessiert sind. SEP-Erklärungen liefern daher aussagekräftige Informationen, die 
in der Wirtschaftsforschung verwendet werden können (Baron und Pohlmann 2018) 

Dieses Buchkapitel baut auf den öffentlichen SEP-Erklärungen der wichtigsten 
SSOs auf. Alle diese SSO stellen Online-Datenbanken von SEP-Erklärungen mit Infor- 
mationen zur Verfügung, die von dem deklarierenden Unternehmen zur Verfügung 
gestellt werden, wie zum Beispiel das Datum der Erklärung, die relevanten Standards 
und die Patentnummer der angeblichen SEPs. In einigen Fällen geben Unternehmen 
jedoch so genannte „pauschale“ Erklärungen ab, wobei der Patentinhaber nur erklärt, 
SEPs für einen Standard zu besitzen, ohne die Patentnummer zu offenbaren oder an- 
dere Patente oder Ansprüche transparent zu machen. SEP-Deklarationen können sich 
entweder auf eine bestimmte technische Spezifikation (TS) oder auf ein Standardpro- 
jekt (z.B. 4G/5G, WLAN, HEVC) beziehen. In der empirischen Untersuchung wurden 
alle SEP-Deklarationen auf Projektebene aggregiert, um die SEPs pro Standardprojekt 
konstant zu vergleichen. Die in dieser Analyse enthaltenen SEP-Erklärungen decken 
den Zeitraum 1992-2015 ab. Um die Konsistenz der Ergebnisse sicherzustellen, wur- 
den nur SEP-Deklarationen berücksichtigt, bei denen zumindest eine Patentnummer 
und ein Standarddokument vorhanden war. So wurden Pauschaldeklarationen nicht 
berücksichtigt. 

Abbildung 7.1 gibt einen Überblick über die Anzahl der deklarierten SEP-Fami- 
lien bezüglich der jeweiligen SSO (Standard Setting Organisation). Die meisten SEPs 
wurden beim European Telecommunication Standards Institute (ETSI) deklariert, was 
mehr als 70 % aller weltweiten SEP-Erklärungen darstellt. ETSI konzentriert sich, ähn- 
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Abb. 7.1: Anzahl der deklarierten SEP-Familien pro Prioritätspatentamt und SSO (Quelle: Eigene 
Darstellung). 


lich wie TIA (Telecommunications Industry Association) oder IEEE, auf Kommunika- 
tionstechnologien. SSOs, die Technologien für Medien und Unterhaltungselektronik 
standardisieren, wie die Blu-ray Disc Association, das DVD Forum oder ITUT, machen 
ebenfalls einen großen Teil der SEP-Deklarationen aus, während SSOs im Computer- 
technologiebereich wie IETS oder OASIS eher wenige deklarierte SEPs haben. 

Abbildung 7.2 zeigt den Anteil erklärter SEP-Familien pro Standard- und Priori- 
tätsamt. Es wurden die Prioritätseinreichungen im EP und in allen europäischen na- 
tionalen Ämtern unter EUR (38 EPC-Länder plus 2 Erweiterungsstaaten) zusammen- 
gefasst. Die Grafik zeigt starke Konzentrationen bei EUR-Prioritätseinreichungen für 
RFID, DVB, MPEG 1, 21 und MP3, US-Prioritätsanmeldungen konzentrieren sich auf 
Standards wie WLAN, WiMax, HDTV und JPEG, JP-Priority-Anmeldungen konzentrie- 
ren sich auf DVD und MPEG 7 Die Standardprojekte mit der höchsten Anzahl von 
SEP-Familien wie GSM, UMTS und LTE zeigen Anmeldungen in allen Büros. Die Abbil- 
dung legt dar, dass sich die Patentpriorität bei einigen Standards aufnur ein oder zwei 
Länder konzentriert (z. B. MPEG7, DVD, HDTV). Dies zeigt, dass diese standardisierten 
Technologien höchstwahrscheinlich zunächst im Grenzbereich dieser Regionen pro- 
duziert und auch vermarktet wurden, bevor sie auf den globalen Märkten umgesetzt 
wurden. 
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Abb. 7.2: Anteil der deklarierten SEP-Familien pro Standardprojekte und prioritäres Patentamt 
(Quelle: Eigene Darstellung). 
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Abb. 7.3: Anzahl der deklarierten SEP-Familien im Hinblick auf die wichtigsten 
Brancheneinstufungen (Quelle: Eigene Darstellung). 


Während für ETSI die Anzahl der Prioritätsanmeldungen für SEP-Familien ziem- 
lich gleichmäßig auf alle Patentämter verteilt ist, findet sich bei den anderen SSO Kon- 
zentrationen von Prioritäten in bestimmten Patentämtern. SSOs wie die Blu-ray Disc 
Association, das DVD Forum oder ISO werden von US- und JP-deklarierten SEPs domi- 
niert, während CEN oder IEC von europäischen Prioritäten dominiert werden. Um die 
deklarierten SEPs für verschiedene Sektoren besser zu clustern, wird die Branchen- 
klassifikation basierend auf der WIPO-IPC-Industriekonkordanz von Schmoch (2008). 
Abbildung 7.3 zeigt die Anzahl der deklarierten SEP-Familien in den wichtigsten In- 
dustriezweigen. 
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Abb. 7.4: Wichtigste IPC-Klassifizierung des angegebenen Anteils der SEP-Familie pro SSO (Quelle: 
Eigene Darstellung). 


Die meisten erklärten SEP-Familien beziehen sich auf digitale Kommunikations- 
und Telekommunikationsindustrien, gefolgt von audiovisueller Technologie und 
Computertechnologie. Dennoch beziehen sich nur wenige erklärte SEP-Familien auf 
elektrische Maschinen oder die Transportindustrie. Die beiden letztgenannten Bran- 
chen werden in den kommenden Jahren voraussichtlich im Hinblick auf zukünftige 
Technologien wie Connected Vehicle, Internet der Dinge und Smart Services zuneh- 
men. Um ein besseres Bild von der großen Anzahl von deklarierten SEP-Familien in 
der „H“ - und „G“ -IPC-Klassifikation zu erhalten, wird die Haupt-IPC-Klassifikati- 
on granularer und per SSO betrachtet. Abbildung 74 zeigt, dass die technologische 
Konzentration bei den SSOs sehr unterschiedlich ist, wobei z. B. audiovisuelle Tech- 
nologien (G11B) sich auf die BluRay Disc Association, das DVD-Forum oder ISO kon- 
zentrieren, Basic Communication Processes (HO3D) konzentrieren sich auf CEN und 
IEC und Computer Technology (G10L) konzentrieren sich auf OASIS, IETF und OMA. 
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7.5 Patentbesitzer standardessentieller Patente 


Tabelle 71 zeigt die wichtigsten SEP-Eigentümer, die Anzahl der deklarierten SEPs, 
das durchschnittliche Alter des Patentportfolios, den Anteil der aktiven Patente, den 
Market Coverage Index (normalisierte Patentfamiliengröße) sowie den Technical Re- 
levance Index (normalisierte Forward-Zitate). Die Tabelle gibt einen Überblick über 
die verschiedenen Akteure, die die Patentportfolios in Bezug auf Größe, Alter, Markt- 
abdeckung und Relevanz charakterisieren, berechnet anhand verschiedener Analyse- 
methoden. 

Viele Marktbeobachter haben behauptet, dass die Gesamtzahl der deklarierten 
SEP sei zu hoch oder zumindest höher als die tatsächliche Anzahl wirklich wichtiger 
Patente sei (Layne-Farrar et al. 2007). SSOs unterhalten Datenbanken von deklarierten 
SEPs, ohne zu untersuchen, ob die Patente eine für den jeweiligen Standard wesent- 
liche Erfindung beanspruchen oder nicht. Außerdem prüfen SSO nicht, ob das Patent 
vom jeweiligen Patentamt erteilt wurde oder aktiv, ablaufen oder abgelaufen ist (Ba- 
ron et al. 2016). 

Um eine Einschätzung der Relevanz zu erhalten, wurden daher für jeden Rechte- 
inhaber mehrere Wertmaßstäbe erstellt. Zuerst wurde das Alter des Portfolios sowie 
der Anteil der aktiven Patente berechnet, die noch nicht abgelaufen sind oder nicht 
fallen gelassen wurden. Das Portfolioalter zeigt, welche Unternehmen in jüngerer Zeit 
standardisierte Technologien patentieren lassen und welche Unternehmen seit meh- 
reren Jahren aktiv sind. Die Portfolios von Unternehmen wie Philips, Siemens, Hitachi 
und NTT sind vergleichsweise alt, während Unternehmen wie Datang Mobile Commu- 
nications, ZTE und Huawei eigene Patente besitzen, die erst kürzlich eingereicht wur- 
den. Die Analyse spiegelt eine Verlagerung von Inhabern von Rechten aus den USA, 
Japan und Europa aufchinesische, koreanische und taiwanesische Rechteinhaber wi- 
der. Der Anteil der aktiven Patente ist für die meisten Inhaber überraschend hoch und 
korreliert negativ mit dem Alter des Portfolios. 

Um den Wert der Patentportfolios zu messen, wurden bibliografische Bewer- 
tungsindikatoren berechnet. Zuerst wurde die Marktabdeckung eines Patents gemes- 
sen, indem die normalisierte Anzahl von Patentfamilien für weltweite Patentämter 
berechnet wurde (Pohlmann et al. 2015). Dieser Marktdeckungsindikator hilft, ein 
Patentportfolio in Bezug auf die geografische Abdeckung und den wahrgenomme- 
nen Patentwert zu bewerten. Die meisten der deklarierten SEP-Portfolios haben ei- 
nen Marktüberdeckungswert, der über dem Durchschnitt für Patente in derselben 
IPC-CPC-Klassen liegt, demselben Veröffentlichungsjahr und demselben Land liegt. 
Während die meisten Portfolios eine ähnliche Punktzahl aufweisen, gehören LG, 
Huawei, Panasonic und Sharp zu den stärksten Portfolios in Bezug auf die Markt- 
abdeckung. Darüber hinaus haben wir die technische Relevanz des Patentportfolios 
gemessen, indem wir die normalisierte Anzahl der Patentzitate berechnet haben. Eine 
höhere technische Relevanz spiegelt eine höhere Bedeutung innerhalb eines Tech- 
nologiebereichs wider. Werte über eins liegen wiederum über Branchen-, Jahres- und 
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Länderdurchschnitt. Gemäß dieses Indikators gehören die stärksten Portfolios dem 
Rockstar-Konsortium, Datang Mobile Communications, ZTE und Texas Instruments. 

Um das Verhältnis von deklarierten SEP-Portfolios zu standardisierten Techno- 
logien zu quantifizieren, wurden drei Kennzahlen zur Standardrelevanz verwendet 
(Pohlmann 2016). Die erste Kennzahl misst standardbezogene Nicht-Patentliteratur- 
Zitate, die zählen, ob ein deklariertes SEP mindestens ein Standarddokument als 
Stand der Technik zitiert. Es wurden hier jedoch nur Zitierungen von Standards ge- 
zählt, die sich auf die Deklaration beziehen. Dies ist der Fall, wenn ein zum Standard 
erklärtes Patent, zum Beispiel IEEE 802.11 (WLAN-Technologien), entweder frühe- 
re Versionen von IEEE 802.11, den gleichen Standard wie dem Stand der Technik 
entsprechend, oder Dokumente, die demselben Projekt zugeordnet werden können, 
zitiert werden. Diese Zitationszählung misst die Beziehung des deklarierten SEP zur 
standardisierten Technologie. Insgesamt ist der Anteil der deklarierten SEPs, die 
Standarddokumente zitieren, vergleichsweise hoch, wobei die Portfolios von Innova- 
tive Sonic, Google und Sharp die höchsten Anteile an relevanten Normdokumenten 
aufweisen. Diese Kennzahlen zur Standardrelevanz sind jedoch nicht durch das Pa- 
tentamt oder Veröffentlichungsjahr normalisiert und können daher auch anderen 
Praktiken der Suche nach dem Stand der Technik in den jeweiligen Ämtern unterlie- 
gen. So führte das Europäische Patentamt (EPA) 2009 eine neue Richtlinie ein, nach 
der Prüfer Zugang zu Dokumenten wie Standardentwürfen, Standarddokumenten 
und Sitzungsprotokollen erhielten, um besser nach Veröffentlichungen des Standes 
der Technik zu suchen. Patente, dienach 2009 beim EPA eingereicht wurden, können 
daher als Stand der Technik eher Standarddokumente anführen. 

Die zweite Kennzahl zur Standardrelevanz zählt die Anzahl der Zitate, die von de- 
klarierten SEPs erhalten werden, während die Selbstzitate unberücksichtigt bleiben. 
Diese Kennzahl spiegelt wider, ob andere Eigentümer erklärter SEP das angegebene 
Portfolio rückzitiert haben. Je mehr Zitate ein Portfolio erhält, desto relevanter er- 
scheint es in anderen Standardsetzungsunternehmen. Unternehmen mit Patentport- 
folios mit den höchsten deklarierten SEP-Zitationsanteilen sind Qualcomm, Nokia, In- 
terdigital und Samsung (Tabelle 7.2). Patentdokumente, die ein Patent zitieren, sind 
jedoch in der Regel mindestens 12 Monate neuer als das zitierte Patent selbst - dies 
liegt an einer Verzögerung bei der Veröffentlichung von eingereichten Anmeldungen. 
So werden Patente, die zur gleichen Zeit eingereicht werden, sich selten gegenseitig 
zitieren. Die Maßnahme kann die technische Relevanz eines Patentportfolios für spä- 
tere Generationen widerspiegeln (z. B. werden heute für UMTS relevante Patente als 
relevant für LTE genannt). Tatsächlich haben die vier erstgenannten Unternehmen zu 
frühen Standardsetzungsaktivitäten für GSM und UMTS beigetragen, während andere 
Rechteinhaber nur in späteren Generationen (z. B. LTE) von Standardsetzungsaktivi- 
täten dem Standardsetzungsprozess beigetreten sind. 
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Tab. 7.2: Die wichtigsten SEP-Eigentiimer nach Anzahl deklarierter SEPs, SEP-Familien, Prozentsatz 
von deklarierten SEPs, die den Standard referenzieren, Prozentsatz von deklarierten SEPs, die von 
anderen SEPs zitiert werden. 


Unternehmen Deklarierte SEP- Anteil Anteil anderer 
SEPs Familien referenzierender referenzierender 
SEPs (in %) SEPs (in %) 
QUALCOMM Inc. 20.678 1.314 27,40% 6,02% 
Nokia Corporation 13.393 1.899 36,42 % 5,31% 
InterDigital Inc. 12.522 1.081 29,56% 4,72% 
LG Electronics Inc. 10.772 1.114 43,99% 3,51% 
Samsung Electronics 10.618 1.596 32,44% 3,57% 
Ericsson 9.396 1.468 34,68% 3,12% 
Huawei Technology 6.500 1.926 48,51% 2,85 % 
Panasonic Corporation 6.326 1.486 52,56% 1,74% 
Google 4.576 1.504 56,13% 1,65% 
NTT DOCOMO Inc. 4.216 692 48,05 % 1,06% 
BlackBerry 2.319 325 43,08% 0,61% 
NEC Corporation 2.299 288 46,19% 0,76% 
Sony Corporation 2.289 542 26,12% 0,16% 
Siemens A.G. 2.209 356 43,82% 0,75% 
Sharp 2.170 564 54,82% 0,40% 
Nokia Siemens Networks 2.073 591 43,22 % 1,34% 
Philips Electronics 1.704 298 18,26 % 0,45% 
ZTE Corp. 1.640 560 41,71% 0,86% 
Mitsubishi Electric 1.387 239 47,55% 0,59% 
Rockstar Consortium 1.174 198 47,53% 0,36 % 
Alcatel-Lucent 1.105 415 45,63% 0,48% 
Toshiba Corporation 953 301 24,66 % 0,03% 
Innovative Sonic 796 91 61,31% 0,50% 
Hitachi Ltd. 549 220 40,07% 0,36% 
Texas Instruments Inc. 487 158 44,76% 0,29% 
Intel Corporation 479 66 43,63% 0,16% 
SANYO Electric 465 64 26,45 % 0,24% 
Datang Mobile Communications 458 255 33,84% 0.12% 
NTT Corporation 454 66 38,11% 0.56 % 


7.6 Patente und Standards für Smart-Service-Technologien: 
Das Beispiel der Automobilindustrie 


Die meisten Marktexperten prognostizieren dramatische Veränderungen in der Auto- 
industrie aufgrund von veränderten Verbraucherpräferenzen, neuen Geschäftsmodel- 
len und aufstrebender Marktinnovationen. Der Sektor wird voraussichtlich auch stark 
von neuen Änderungen in den Bereichen Nachhaltigkeit und Umweltpolitik sowie von 
bevorstehenden Veränderungen zu Vorschriften zu Sicherheitsfragen betroffen sein. 
Es wird prognostiziert, dass diese Kräfte zu disruptiven Technologietrends wie fahrer- 
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losen Fahrzeugen, Elektrifizierung und Interkonnektivitat fiihren werden (Pohlmann 
2017). 

Prognosestudien gehen davon aus, dass das intelligente Auto der nahen Zukunft 
ständig Informationen mit seiner Umwelt austauschen wird. Car-to-X- oder Auto- 
Auto-Kommunikationssysteme ermöglichen die Kommunikation zwischen Autos, 
Straßenrändern und Infrastruktur; während mechanische Elemente bald in Compu- 
tersysteme innerhalb der Internetinfrastruktur eingebettet werden. Die zukünftige 
Autoindustrie könnte einer der ersten Bereiche sein, der sich auf Industrie-4.0- und 
Internet-of-Things-(IoT)Technologien stützt, die Geräte, Maschinen, Gebäude und 
andere Gegenstände mit Elektronik, Software oder Sensoren verbinden (Pohlmann 
2016). 

Die Interkonnektivität zwischen mehreren Geräten und Einheiten beruht auf der 
Spezifikation von Technologiestandards. Sie schaffen eine gemeinsame Sprache für 
Technologien und gewährleisten die Kompatibilität und Funktionsvielfalt komplexer 
Technologiesysteme. Die Integration von umfassend patentierten standardisierten 
Technologien schafft wirtschaftliche Risiken für Fahrzeughersteller. Lizenzgebüh- 
ren — zum Beispiel für SEPs in Mobilfunkstandards wie UMTS und LTE oder bald 5G - 
können problemlos Hunderte von Millionen Dollar Lizenzkosten pro Jahr bedeuten. 
Solche Standards werden auch für jede Anwendung wichtig sein, bei der Fahrzeuge 
mit ihrer Umgebung kommunizieren (Baron und Pohlmann 2013; Leiponen 2008). 

Die Standardsetzung in der Automobilindustrie wurde meist mit der Festlegung 
von De-facto-Standards innerhalb der Produktionslinien der Hersteller oder der Fest- 
legung von ratifizierenden Sicherheitsstandards durch die Gesetzgebung verbunden. 
Im Bereich der Informations- und Kommunikationstechnologie (IKT) geht die Stan- 
dardsetzung jedoch über die Spezifikation von Kompatibilitätsstandards hinaus und 
kann als gemeinsame Entwicklung hochentwickelter Technologien bezeichnet wer- 
den. Unternehmen treffen sich in standardsetzenden Arbeitsgruppen und präsentie- 
ren ihre innovativen Technologievorschläge zur Auswahl und Einbindung in hoch- 
komplexe standardisierte Systeme. Während die meisten dieser Technologien derzeit 
auf Geräte wie Smartphones, Tablets und Notebooks beschränkt sind, könnten sie 
bald in Gebäude, Infrastruktur und Fahrzeuge integriert werden (Baron/Pohlmann, 
2018). 

Die Entwicklungund Anwendung von Standards unterscheidet sich nicht nur zwi- 
schen der Automobil- und der IKT-Industrie; das Gleiche gilt für die Patentlizenzie- 
rungsmechanismen. Patente in der Automobilindustrie sind in der Regel auf vertika- 
len Ebenen lizenziert. Ein Tier-1-Hersteller fordert üblicherweise keine Lizenzgebüh- 
ren von einem OEM (Original Equipment Manufacturer), sondern würde diese Kosten 
lieber in seine Komponentenpreise einbeziehen. Dadurch können Lieferanten sicher- 
stellen, dass ihre Komponenten frei von Rechten Dritter sind. Bei Lizenzverhandlun- 
gen basieren die Lizenzgebühren meist auf einem durch eine Erfindung verbesserten 
Teil — die Lizenzkosten haben somit bisher nur einen marginalen Einfluss auf die Fahr- 
zeugpreise (Pohlmann 2017). 
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Die Lizenzierung von Patenten in der IKT-Branche konzentriert sich dagegen auf 
das Gerat und richtet sich somit an OEMs, deren Lizenzgebiihren auf dem durch- 
schnittlichen Verkaufspreis eines Geräts basieren. Folglich sind die Lizenzgebühren 
im Vergleich dazu viel höher, insbesondere für Hersteller, die kein Patentportfolio für 
eine Kreuzlizenz besitzen. In den Statuten von Organisationen, die Standards fest- 
legen, wie z.B. der IP-Policy des European Telecommunications Standards Institute 
(ETSI), wird nicht explizit festgelegt, wie Lizenzgebühren für SEPs zu berechnen sind. 
Die Lizenzerwartungen zwischen SEP-Inhabern aus der IKT-Industrie und der Auto- 
mobilbranche divergieren jedoch teilweise drastisch. Während in der IKT-Branche 
zweistellige Lizenzgebühren auf der Grundlage des gesamten Produktmarktumsatzes 
üblich sind, sind sie in der Automobilindustrie, in der die marginalen Gewinne ver- 
gleichsweise gering sind, undenkbar. In Zukunft können jedoch Lizenzierungsberech- 
nungen auf Basis von Modulen anstelle von ganzen Komponenten oder Produkten zu 
erheblichen Kosten für Fahrzeughersteller führen, da Fahrzeuge oft mehrere Module 
integrieren, was dazu führen kann, dass um ein Vielfaches höher Lizenzgebühren 
bezahlt werden müssen. Es gibt Befürchtungen, dass ein solches Lizenzmodell für 
Autohersteller wirtschaftlich nicht machbar wäre (Pohlmann 2017). 

Viele SEP-Besitzer sind daran gewöhnt zu argumentieren, dass der Wert eines 
Standards auf der Verwendung eines bestimmten Produkts basieren sollte. Gegen- 
wärtig wird die Automobilkonnektivität meist nur in Ausnahmefällen wie Notrufen 
genutzt, die teilweise durch regulatorische Maßnahmen (z. B. eCall) erfolgen. Im Zuge 
der Lizenzverhandlungen für SEPs wird daher häufig argumentiert, dass Lizenzgebüh- 
ren auf der kleinsten verkaufsfähigen Einheit basieren sollten — meist als Basisband- 
Chip bezeichnet. Dies ignoriert jedoch den inkrementellen Wert der Interkonnektivität 
eines Geräts. Während dies für Smartphones besonders hoch ist, ist die Situation bei 
Autos nicht so eindeutig. Derzeit beeinflussen Konnektivitätsfunktionen wie LTE und 
Wi-Fi die Kaufentscheidungen für ein neues Auto nicht wesentlich. Dies könnte sich 
jedoch ändern, wenn solche standardisierten Technologien neue intelligente und ver- 
netzte Dienste einführen (z.B. Verkehrserkennung, Unfallverhütung oder fahrerlose 
Fahrzeuge). Diese Aussicht weckt bereits das Interesse von SEP-Besitzern, ihre SEPs 
gegen Autohersteller durchzusetzen, während Unternehmen aus der Telekommunika- 
tionsbranche abwarten, was als nächstes passiert. Während der Europäische Gerichts- 
hof (EuGH) und das US-Justizministerium (DoJ) klare Regeln für die SEP-Lizenzierung 
und den Unterlassungsanspruch aufgestellt haben, gibt es keine konkreten Leitlinien 
zur gerechten, angemessenen und diskriminierungsfreien Berechnung (FRAND) von 
Lizenzbedingungen für SEPs. Die Auslegung der bestehenden Rechtsprechung unter- 
scheidet sich grundlegend zwischen den Zuständigkeiten. Das bedeutet, dass ein Un- 
terlassungsanspruch in einigen Ländern nicht in Frage kommt, in anderen Ländern 
wie Deutschland jedoch durchaus möglich ist. Dies hat für viele Automobilhersteller 
zu Rechtsunsicherheit und unvorhersehbaren Kosten geführt (Pohlmann 2016). 

In der Folge haben mehrere Automobilhersteller und SEP-Eigentümer Initiativen 
ergriffen, um gegen aggressive Patentinhaber, die überhöhte Lizenzgebühren geltend 
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machen wollen, zuriickzuschlagen. Eine davon ist die Fair Standards Alliance (FSA), 
die im November 2015 in Europa gegriindet wurde und laut ihrem Positionspapier die 
Lizenzierung von SEPs zu FRAND-Bedingungen fördern soll. Die FSA behauptet, dass 
innovative Branchen durch unfaire und unangemessene SEP-Lizenzierungspraktiken 
bedroht sind, die Markteintrittsbarrieren schaffen und somit das Potenzial fiir wirt- 
schaftliches Wachstum in wichtigen Sektoren verringern können. Zu den Mitgliedern 
gehören unter anderem Volkswagen, Daimler, BMW, Google, AirTies, Cisco, Dell, Fair- 
phone, HP, Intel, ip.access, Juniper Networks, Lenovo, Micromax, peiker acustic, Si- 
erra Wireless, Telit und u-blox. 

Eine weitere Initiative ist das in Europa ansässige CAR 2 CAR Communication 
Consortium, dessen Hauptzweck es ist, sich auf die harmonisierte Implementierung 
und den Einsatz eines kooperativen intelligenten Verkehrssystems (ITS) in Europa zu 
einigen. Das Konsortium erreichte die Zuteilung eines lizenzfreien Frequenzbands im 
Bereich von 5,9 Gigahertz für sicherheitsrelevante Dienste, die mit einer ähnlichen 
Frequenzzuteilung in den USA, Kanada, Mexiko und Australien abgestimmt sind. Es 
fördert die Zusammenarbeit zwischen Fahrzeugherstellern, Infrastrukturanbietern 
und Telekommunikationsbetreibern. Zu seinen Mitgliedern gehören Autohersteller 
wie Volkswagen, Daimler, BMW, Audi, Toyota, Honda und Renault; Automobilzulie- 
ferer wie Delphi, Denso, Continental, Valeo, Kapsch und Bosch sowie Lieferanten aus 
dem Telekommunikationssektor wie Qualcomm, LG und Huawei. 

Ein drittes Konsortium ist das Car Connectivity Consortium, das einen offenen 
Standard für smartphonebasierte Auto-Connectivity-Lösungen namens MirrorLink 
entwickelt. Zu den Mitgliedern gehören Automobilhersteller wie Chevrolet, Volks- 
wagen, Honda und Toyota sowie Mobilfunkhersteller wie Samsung, Sony und HTC. 
Außerdem wurde ein neuer Patentpool — Avanci - gebildet. Die gemeinsame Lizenzie- 
rungsinitiative hat bereits große SEP-Eigner aus der Mobilfunkindustrie wie Ericsson, 
Qualcomm, InterDigital, KPN, Sony und ZTE angezogen und verfolgt das Ziel, eine 
einzige Lizenzvereinbarung für Lizenzgeber und Lizenznehmer zu treffen. 

Anstatt sich an jeden Technologieeigentümer zu wenden, um eine Lizenz anzu- 
fordern, zu verhandeln und zu bezahlen, sollten sich die Hersteller bald auf einen 
einzigen Marktplatz für Lizenzierungstechnologien für die Verbindung verlassen kön- 
nen. Dieses One-Stop-Shop-Prinzip deckt noch nicht 100 % aller SEPs ab (z. B. ist LTE 
nicht enthalten), und es bleibt abzuwarten, ob eine solche Abdeckung jemals ein- 
treten wird. Ein SEP-Patentpool könnte jedoch die Transparenz hinsichtlich der Ei- 
gentumsverteilung erhöhen, während die Stückpreise des Avanci-Patentpools mög- 
licherweise als Referenz in SEP-Verhandlungen angeführt werden könnten. In dieser 
Hinsicht können Patentpools eine wichtige Rolle spielen, wenn es darum geht, das 
Problem der multiplen oder doppelten Marginalisierung zu lösen, was die gesamten 
SEP-Lizenzgebühren reduzieren könnte. „Mehrfache Marginalisierung“ beschreibt ei- 
ne Situation, in der das Patentrecht nicht transparent ist und die Lizenzgeber den An- 
teil und Wert ihres SEP-Portfolios überschätzen können. Eine kumulative Lizenz von 
mehreren SEP-Besitzern kann folglich über das hinausgehen, was aufdem Markt wirt- 
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schaftlich optimal und machbar ist. Ein Patentpool, der etwa 60 % aller LTE-SEPs ab- 
deckt und bestimmte Stiickpreise festlegt, wird dabei helfen, Transparenz zu schaffen, 
auch wenn SEPs außerhalb des Pools möglicherweise noch für höhere Preise lizenziert 
werden (Pohlmann 2017). 


7.7 Ausblick 


Im Zuge von Industrie 4.0 und Smart Services werden zukünftige Technologien wie 
Smart Cars, Smart Home und Smart Energy oder andere, zunehmend patentierte Tech- 
nologiestandards wie 4G/5G, HEVC, WLAN, NFC, RFID und Bluetooth integrieren. Die 
Anzahl der deklarierten SEPs steigt dabei ständig an (Baron/Pohlmann, 2018). Ein 
Auto, ein Roboter, ein Stromzähler oder auch ein Kühlschrank der sich über 5G oder 
WLAN mit dem Internet verbindet nutz patentierte Technologiestandards. Diese Pa- 
tente müssen von den Herstellern entsprechend lizensiert werden. Während heute Li- 
zenzgebühren beispielsweise für eine LTE-Integration in Autos bei ca. 15 USD pro Auto 
liegen, könnten langfristig die Lizenzgebühren für standardessentielle Patente stark 
ansteigen. Außerdem hat nicht nur die Zahl der deklarierten SEPs zugenommen, son- 
dern auch die Anzahl und Vielfalt der Patentinhaber. Dies spiegelt sich in der zuneh- 
menden geografischen Vielfalt der Rechteinhaber sowie in der zunehmenden Vielfalt 
von Geschäftsmodellen wider. Unternehmen aller Industrien sollten vertiefte Analy- 
sen zur Existenz relevanter SEPs durchführen, um mögliche Lizenzkosten oder recht- 
liche Probleme in einem frühen Stadium zu identifizieren. Das Risikopotenzial für die 
Einführung neuer Technologien oder Produkte kann so in den frühen Phasen quanti- 
fiziert und bewertet werden. Industrieunternehmen sollten bedenken, dass der Kauf 
von SEPs ein Weg sein kann, neue Märkte zu betreten. SEPs können bei Lizenzver- 
handlungen eine gute Verhandlungsmasse sein, um teure gerichtliche Auseinander- 
setzungen zu vermeiden. 

Ähnlich wie in der Mobiltelefonbranche - wo der Übergang von Funktionstele- 
fonen zu Smartphones zu beobachteten war und neue Geschäftsmodelle, Plattfor- 
men und Marktteilnehmer die Art und Weise veränderten, wie Gewinne zwischen 
Unternehmen verteilt wurden- wird sehr wahrscheinlich eine Verschiebung und Ge- 
winnumverteilungen innerhalb weiterer Industrien wie z.B. der Autoindustrie zu 
beobachten sein. Der aktuelle Entwicklungsweg weist auf eine immer größere Kon- 
nektivität hin, von derzeit verwendeten internetbasierten Infotainment-Systemen 
über fortschrittlichere intelligente Assistenzsysteme bis hin zu vollständig autono- 
men Technologien. Connectivity hat das Potenzial, die Wertschöpfungskette grund- 
legend zu verändern. Um diesen Herausforderungen gerecht zu werden, müssen sich 
Industrieunternehmen der komplexen Lizenzierungswelt der IKT-Branche stellen 
und sicherstellen, dass sie über die richtige IP-Strategie verfügen. Eine IP-Strategie 
beinhaltet eine umfassendere Überwachung der IP-Aktivitäten über das bekannte 
Umfeld von Wettbewerbern und Zulieferern hinaus. Die IP-Analyse der Industrie- 
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unternehmen sollte auch ein Verstandnis der IKT-Normungstatigkeiten in Betracht 
ziehen. Standards, die heute entwickelt werden, können in Zukunft die Grundlage fiir 
neue Plattformen und Anwendungen werden. 


Die Lizenzierung von SEPs ist ein wichtiges Thema und wird bei der intensiver 


werdenden Digitalen Transformation immer relevanter. Leitende Manager von Indus- 
trieunternehmen aber auch KMUs mit Intention zur Entwicklung von Smart Services 
sollten deshalb einige wichtige Überlegungen berücksichtigen: 


Zukünftige Technologien, die Konnektivität ermöglichen, werden zunehmend auf 
patentierten Technologiestandards wie 4G/5G, WLAN, NFC, RFID, Bluetooth oder 
HEVC beruhen. 

Die Anzahl der erklärten SEPs steigt ständig. Patentmanager und IP-Strategien 
von KMUs sollten Lizenzgebühren und angemessene Sicherheitsleistungen im 
Voraus in Betracht ziehen. 

Patentmanager und IP-Strategien sollten nicht nur die Informationen berücksich- 
tigen, die aus der Patentanmeldung stammen, sondern auch eine Überwachung 
von Standardisierungsaktivitäten und Erklärungen von SEPs in Betracht ziehen. 

Die leitenden Manager sollten den Verkauf von SEPs überwachen. Nicht selten 
kaufen so genannte „Patent-Trolle“ (Pohlmann und Opitz 2013) SEP Portfolios auf, 
um diese später gegen Industrieunternehmen geltend zu machen und zu mone- 
tarisieren. 

Industrieunternehmen sollten eine gemeinsame Strategie für die Patentierung 
und Standardisierung verfolgen, um sicherzustellen, dass sie sich umfassend für 
die Entwicklung zukünftiger Technologien einsetzen. 


Mirko Boehm und Davis Eisape 

8 Normungs- und Standardisierungsorganisationen 
und Open Source Communities — Partner oder 
Wettbewerber? 


8.1 Technische Standardisierung im IKT-Bereich 


Normungs- und Standardisierungsorganisationen (standard setting organisations, 
SSOs) haben zum Teil eine jahrhundertlange Tradition in der Förderung und Ver- 
breitung von technischen Lösungen und Innovationen. Der positive wirtschaftliche, 
soziale und politische Nutzen von Normung und Standardisierung führte zur Etablie- 
rung eines Netzwerks zwischen Industrien, Regierungen, Forschungseinrichtungen, 
nationalen, regionalen und themenspezifischen SSOs sowie der Internationalen Orga- 
nisation für Normung (ISO) und anderen internationalen Normungsorganisationen, 
wie zum Beispiel IEC und ITU. Heute sind diese anerkannten normenschaffenden 
Institutionen wichtige Grundpfeiler der Gesellschaft und Instrumente und Dienst- 
leister für Politik, traditionelle Industrien und Innovatoren. Sie definieren formelle 
Normen und setzen damit Standards, die die Gesellschaft auf allen Ebenen betreffen. 
Durch ISO in Zusammenarbeit mit nationalen SSOs entwickelte Standards werden 
u.a. Anforderungen zur Realisierung von Umweltschutz (ISOE, Informationssicher- 
heit oder Qualitätsmanagementstandards in der Industrie beschrieben (ISO 2018a, 
2018b, 2018c). Die Einhaltung dieser formellen Standards bedeutet, sich am offiziell 
anerkannten Stand der Technik zu orientieren - was eine gesellschaftliche Grund- 
erwartung von Industrie und Verbrauchern und oft eine Anforderung der Markt- 
aufsichtsbehörden. Für Innovatoren sind SSOs ein strategisches Instrument, „um 
innovative Lösungen in die Normung und Standardisierung einzubringen und somit 
deren effektive Verbreitung in der Wirtschaft zu fördern“ (DIN 2018). 

Freie und Open Source Software (FOSS) hingegen ist ein relativ neues Phänomen. 
Sie fand breite Anerkennung, weil sie nachweislich in der Lageist, qualitativ hochwer- 
tige, interoperable und weit verbreitete Softwarelösungen auf hohem Niveau und mit 
hohem Innovationstempo zu entwickeln. Das Linux-Betriebssystem sowie die Eclipse- 
Familie von Softwareentwicklungs-Produkten sind zu De-facto-Standards geworden. 
FOSS-Erfolgsgeschichten beeinflussen alle Lebensbereiche: Firefox hilft den Bürgern, 
ihre Privatsphäre zu schützen. Android wurde durch die Mobilfunkindustrie zur am 
weitesten verbreiteten Geräteplattform. Vieles von der kritischen Grundinfrastruktur 
des Internets (Core Infrastructure Initiative 2018) basiert auf den Ergebnissen privater 
Teilnehmer, die freiwillig in Communities an freien Softwarelösungen mitarbeiteten. 

Da sowohl SSOs als auch FOSS Standards setzen und Innovationen vorantrei- 
ben, wird in Fachkreisen eine Zusammenführung von Open-Source-Projekten und 
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Normungs- und Standardisierungsprozessen durchaus als fiir beide Seiten potentiell 
gewinnbringend angesehen. Einerseits kann die Angleichung von Open Source und 
Normung und Standardisierung den Prozess der Normenentwicklung und die Uber- 
nahme von IKT-Standards (insbesondere für KMU) beschleunigen, andererseits kön- 
nen Normen und Standards für Interoperabilität von Open-Source-Software-Imple- 
mentierungen sorgen (European Commission 2017c). Es gibt diesbezüglich zwar erste 
Ansätze, aber nicht viele konkrete Beispiele für eine erfolgreiche Zusammenarbeit 
zwischen SSOs und FOSS-Projekten. Anwender und Experten sind sich zudem noch 
nicht einig, ob FOSS eine „standardisierende Wirkung“ ähnlich wie SSOs hat und 
damit einen konkurrierenden Ansatz zur formellen Normung und Standardisierung 
darstellt. Gleichzeitig sind das formelle Definieren und die implementatorische An- 
wendung von Normen und Standards komplementär und können von der Zusam- 
menarbeit zwischen SSOs und der sogenannten breiteren Open-Source-Community 
profitieren. An welcher Stelle und in welcher Form SSOs und FOSS-Communities zu- 
sammenarbeiten können und wo sie strategische Alternativen im Hinblick auf das 
Setzen von relevanten und effektiven Standards darstellen, ist die zentrale Frage 
dieser Studie. 


8.2 Untersuchungs- und Anwendungsbereich der Studie 
und Literaturübersicht 


Formelle und informelle Normung und Standardisierung 


Normen und Standards umfassen in diesem Kapitel technische Standards, die An- 
forderungen an technische Systeme formulieren, die wiederum aus einer Kombina- 
tion von Hard- und Software bestehen (Blind und Mangelsdorf 2016). Hardware be- 
zieht sich auf physische Güter, die Arbeit und Material benötigen, um gebaut zu wer- 
den und somit begrenzt reproduzierbar sind. Software sind Informationsgüter, die 
teuer in der Herstellung, aber billig zu reproduzieren sind (Varian 1995), was zu ei- 
nem nahezu unbegrenzten Angebot führt. Bezogen auf Technologien zur elektroni- 
schen Datenverarbeitung können Standards die Funktionalität von Softwaresystemen 
(Softwarestandards), das Zusammenspiel von Software und Hardware (Schnittstel- 
lenstandards) oder Attribute der Hardware (Hardware-Standards) beschreiben. Tech- 
nische Standards, die üblicherweise mit der Arbeit von FOSS-Communities im Zu- 
sammenhang stehen, sind entweder Softwarestandards oder Schnittstellenstandards, 
keine Hardwarestandards. FOSS-Communities können zwar offene Hardwaredesigns 
erstellen, die dann Informationsgüter sind (ESA 2018), oder sich sogar an der Her- 
stellung solcher Hardware beteiligen, aber dies ist nicht ihr übliches Handlungsfeld 
und wird in dieser Studie nicht betrachtet. Kommunikationsprotokolle, diein der fünf- 
ten Schicht und höher gemäß dem OSI-Modell (Englisch: Open Systems Interconnec- 
tion Model) (ISO/IEC 7498-1) implementiert werden, bestehen meistens aus Software 
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Abb. 8.1: Untersuchungs- und Anwendungsbereich der Studie (Quelle: Eigene Darstellung). 


und sind fiir diese Studie relevant. Abbildung 8.1 zeigt dementsprechend den Unter- 
suchungs- und Anwendungsbereich dieses Kapitels. 

Die fortschreitende Kommodifizierung von Hardware begünstigt den Übergang 
von Hardwarestandards zu Softwarestandards, da in Hardware zunehmend Standard- 
softwarelösungen implementiert werden. Die zunehmende Relevanz von Software- 
standards zeigt sich z. B. auch beim Übergang von hardwaregesteuerten zu software- 
gesteuerten Netzwerken (ETSI 2012) oder beim Einsatz von Containertechnologien in 
Rechenzentren, die Hardwareschnittstellen zunehmend überflüssig machen, bis hin 
zum „Serverless Computing“ oder „Function as a Service“. 

Die Notwendigkeit der Interoperabilität — im Sinne der Fähigkeit, nützliche Daten 
und andere Informationen über Systeme, Anwendungen oder Komponenten hinweg 
zu übertragen und darzustellen — wird allgemein als Ziel der Standardisierung iden- 
tifiziert (Gasser und Palfrey 2007). Spezifikationen von Datenformaten, Hardware- 
schnittstellen und Kommunikationsprotokollen ermöglichen die Interoperabilität 
zwischen Geräten oder Programmen, die diesen Standards entsprechen. Sowohl SSOs 
als auch FOSS-Communities streben nach Interoperabilität, wobei unterschiedliche 
und teilweise konkurrierende Ansätze zum Einsatz kommen. Systeme können Inter- 
operabilität erreichen, indem sie entweder einer gemeinsamen Spezifikation folgen, 
die in einem konsensbasierten formalen Prozess definiert wird (wie bei der formalen 
Normung und Standardisierung) oder indem sie eine gemeinsame Implementierung 
verwenden, was dem informellen Standardisierungsansatz der FOSS-Communities 
näherkommt. Durch die Festlegung von Apriori-Standards können Implementie- 
rer eine Vielzahl von standardkonformen Produkten entwickeln, die interoperabel 
sind und auf dem Markt konkurrieren. Aufgrund des relativ zeitaufwendigen for- 
malen Standardisierungsprozesses können durch SSOs erarbeitete Standards nicht 
beliebig schnell geändert oder zurückgezogen werden, was einerseits Investitionssi- 
cherheit bietet, andererseits aber oft die notwendige Flexibilität vermissen lässt, um 
schnell auf veränderte Technologie- und Marktentwicklungen zu reagieren. Durch 
eine Apriori-Implementierung können freie Softwareprodukte die Interoperabilität 
durch eine gemeinsame, frei lizenzierte Implementierung erreichen und einen nicht 
differenzierenden Stand der Technik definieren, der im Laufe der Zeit durch neue 
Projekte oder Entwicklungsgabelungen in Frage gestellt werden kann. 


102 —— 8 Normungs- und Standardisierungsorganisationen und Open Source Communities 


SSOs bieten Prozesse an, bei denen Stakeholder konsensbasiert und schriftlich 
einen Standard verfassen. Sie tiberlassen es nachgelagerten Implementierern (Nor- 
menanwendern), Produkte zu erstellen, die dem Standard entsprechen. Dies schließt 
mit ein, dass bereits vor der Veröffentlichung des Standards, Produkte am Markt vor- 
handen sind, die anschließend mit einem zeitlichen Wettbewerbsvorteil den definier- 
ten Vorgaben entsprechen. FOSS-Communities wenden einen Code-first-Ansatz an, 
bei dem von allen Beteiligten erwartet wird, „funktionierenden Code“ zu produzieren 
und nachgelagert im Bedarfsfall einen Standard zu verschriftlichen, der dann auf ei- 
ner funktionierenden Referenzimplementierung basiert. Während SSOs oft argumen- 
tieren, dass formale Normung und Standardisierung die Voraussetzungen für einen 
Standard (de-jure-Standard) sind, erreichen FOSS-Communities „standardisierende 
Wirkung“, indem sie Lösungen implementieren und verbreiten und über eine erfolg- 
reiche Marktdurchdringung informelle De-facto-Standards setzen. 

Die wissenschaftliche Literatur und die unternehmerische Praxis unterscheiden 
zwischen De-jure- und De-facto-Standards, die sich in ihrer Entstehung und in ihren 
Auswirkungen auf den Markt unterscheiden. Formelle (de-jure) Standards sind das 
Ergebnis eines meist komplexen, konsensbasierten Prozesses, der offen ist für eine 
Vielzahl von oft unterschiedlichen und konkurrierenden Stakeholdern (Blind 2002). 
Der Prozess differiert jenach Markt- und Branchenkontext sowie nach Zielen und Stra- 
tegien der beteiligten Akteure (Folmer et al. 2009). Etablierte Plattformen für die Aus- 
arbeitung von Multi-Stakeholder-Projekten implementieren einen formalisierten und 
teilweise geregelten Prozess, in dem das Finden eines gemeinsamen Nenners mehrere 
Jahre dauern kann. Dieser stabile und formalisierte Prozess ist eine Stärke von SSOs, 
denn er ermöglicht Transparenz, die Möglichkeit der Partizipation für alle interessier- 
ten Kreise und hohe Qualitätsstandards. Es ist zugleich eine Schwäche, denn SSOs 
sind in einigen Fällen nicht in der Lage, mit den sich ständig beschleunigenden Inno- 
vationszyklen Schritt zu halten (Shin et al. 2015). Flexiblere informelle Standardisie- 
rung hat sich weiterentwickelt und die Standardisierungslandschaft erweitert. Durch 
das Erreichen eines signifikanten oder dominanten Marktanteils werden die Tech- 
nologien, die von den Marktteilnehmern entwickelt werden, zu De-facto-Standards 
(Pohlmann 2013). De-facto-Standards ergeben sich aus dem Wettbewerb in Märkten, 
durch Branchenallianzen, durch Tätigkeiten zur Markterschließung von Vermittlern, 
durch technische Spezifikationen, die von einem einflussreichen Marktakteur heraus- 
gegeben werden, durch das Konsumverhalten von Verbrauchern und andere Fakto- 
ren (Baron und Spulber 2018). Maßnahmen wie Vergaben, Werbung und Preisgestal- 
tung helfen, die Technologie im größeren Maßstab am Markt zu verbreiten (Katz und 
Shapiro 1986; Spulber 2008). De-facto-Standards werden in private Standards unter- 
schieden, die durch einzelne Organisationen gesetzt werden, und Marktstandards, 
die durch den Wettbewerb entstehen. Beide sind zunächst nicht durch eine forma- 
le SSO definiert worden (Baron und Spulber 2018). De-jure-Standards werden durch 
anerkannte nationale oder internationale SSOs entwickelt oder durch staatliche Regu- 
lierer in Auftrag gegeben (mandatiert). Regierungsbehörden können SSOs ratifizieren 
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und SSOs können bestehende De-facto-Standards auf der Grundlage ihrer Akzeptanz 
am Markt formell anerkennen und sie somit in formelle Standards umwandeln (Baron 
und Spulber 2018). Die strikte Trennung von formeller und informeller Standardisie- 
rung wird dadurch in Frage gestellt. Das unterstreicht die Tatsache, dass Akteure sich 
zwischen der Teilnahme an formellen SSO-Prozessen und den in der De-facto-Stan- 
dardisierung herrschenden Marktprozessen entscheiden sollen, dabei aber oft einen 
hybriden Ansatz entwickeln, der am besten ihre Geschäftsstrategie unterstützt (Vries 
und Oshri 2008). Partizipierende haben somit die Wahl zwischen formeller Normung, 
informeller Standardisierung und einer Kombination aus beidem. 


Standardisierung durch gemeinsame Implementierungen 


Die in diesem Kapitel betrachteten FOSS-Communities produzieren Informationsgü- 
ter, vor allem Computerprogramme, in einem kollaborativen, auf freiwilliger Betei- 
ligung basierenden Prozess. FOSS-Produkte werden als „freie Software“ bezeichnet, 
weil sie unter einer Lizenz vertrieben werden, die dem Benutzer die Freiheit gibt, die- 
se Güter zu nutzen, zu studieren, zu modifizieren und weiterzuverbreiten (Stallman 
und Lessig 2010). 

Was diese Freiheiten beinhalten, ist in der von der Open-Source-Initiative festge- 
legten Open-Source-Definition beschrieben. Der gebräuchliche Begriff Open Source 
beschreibt ursprünglich eine Kampagne zur Förderung freier Software in der Wirt- 
schaf (Perens 2017). Sowohl freie Software als auch Open Source sind heute ange- 
messene Kunstbegriffe, die sich synonym auf Software beziehen, die unter einer der 
Open-Source-Definition entsprechenden Lizenz vertrieben werden. Die Open-Source- 
Initiative ist für die Überprüfung und Genehmigung der Lizenzen zuständig. 

Die FOSS-Community beschreibt in diesem Zusammenhang eine Gruppe von Mit- 
wirkenden und teilweise auch von deren Organisationen, die sich freiwillig an der 
Erstellung von freien Softwareprodukten beteiligen. Sowohl Einzelpersonen als auch 
Organisationen wie Unternehmen, Universitäten und Behörden beteiligen sich an den 
Produktionsprozessen von FOSS in einem Modus, der allgemein als Peer-Produktion 
bezeichnet wird (Benkler 2002). Die von der Gruppe der Teilnehmenden angewandten 
Sozial- und Verhaltensnormen sowie Entscheidungsprozesse werden als Community- 
Governance bezeichnet. Ohne eine externe Autorität wird die Governance in der Regel 
von der Gruppe selbst festgelegt, wobei alle Autoritäten aus der Community kommen. 
Da jede Autorität in der Community selbstbestimmt ist, ist ein Verhalten gemäß den 
Verhaltensnormen der Community, die informell oder formell z.B. in Verhaltensko- 
dizes festgelegt sind, Voraussetzung für die Teilnahme. Die Verletzung von Normen 
der Community gilt im Community-Kontext als „unsoziales“ Verhalten. Während sich 
die einzelnen Communities auf die Entwicklung spezifischer Software oder Lösun- 
gen konzentrieren, wird sehr stark die Inter-Community-Zusammenarbeit praktiziert, 
wie sie bei regelmäßigen Großkonferenzen, wie z. B. FOSDEM7, zu beobachten ist. Die 
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Konferenzen bieten Tausenden von Referierenden aus verschiedene Bereichen und 
Hintergründen eine Plattform. Das gemeinsame Verständnis zwischen diesen Com- 
munities wird als Open-Source-Weg oder manchmal auch als Open-Source-Kultur be- 
zeichnet. Die breitere Open-Source-Community versteht sich demnach als Gesamtheit 
aller an der Entwicklung von FOSS beteiligten Personen und Organisationen mit dem 
gemeinsamen Interesse, diese zu fördern und zu schützen. Die breitere Open-Source- 
Community entwickelt gemeinsam große und komplexe Softwareprodukte wie Linux- 
Distributionen, welche die Produkte tausender einzelner Communities kombinieren. 
Voraussetzung dafür ist ein gemeinsames Verständnis über die Erstellung von abge- 
leiteten und aggregierten Werken, das auf der Open-Source-Definition und anderen 
grundlegenden Open-Source-Normen basiert, die sich auf das gemeinsame Eigentum, 
auf den Zugriff auf den Software-Quellcode und auf die Entwicklungsprozesse in den 
Communities beziehen. Daraus kann ein Upstream-Downstream-Modell entwickelt 
werden, das beschreibt, wie die Entwicklungsprozesse der verschiedenen Commu- 
nities miteinander interagieren und so eine gemeinschaftsübergreifende Zusammen- 
arbeitin komplexen m:n-Beziehungen ermöglichen. Die Einhaltung dieses gemeinsa- 
men Vorgehens und Verständnisses wird von allen Beteiligten erwartet. 

Alle freien Software-Lizenzen gewähren dem Nutzer der Software das Recht, diese 
zu nutzen, zu studieren, zu modifizieren und weiterzugeben. Sobald eine Software un- 
ter einer freien Software-Lizenz veröffentlicht wird, ist sie für alle für immer frei nutz- 
bar. Während einige freie Softwarelizenzen proprietäre Derivate erlauben, die selbst 
nicht FOSS sind, können die zugrundeliegenden nicht proprietären Bestandteile nicht 
„ent-open-sourced“ werden, sobald Kopien davon im Umlauf sind. Die in den freien 
Softwarelizenzen enthaltenen Nutzungsrechte verhindern den Ausschluss von Ver- 
brauchern oder Unternehmen von der Nutzung der Software und sichern zudem ei- 
ne Nicht-Rivalität der Software, so dass sie durch die Anwendung der Lizenzbedin- 
gungen zu einem Gemeingut wird. FOSS-Communities produzieren moderne nicht 
differenzierende Technologien. Ihre Software ist für alle verfügbar und daher kann 
nicht zwischen konkurrierenden Produkten unterschieden werden. Alle im Laufe der 
Zeit produzierten FOSS-Produkte tragen zu einem gemeinsamen Wissen bei, das stetig 
wächst, da keines seiner Elemente jemals verschwinden kann. Durch den Wettbewerb 
um den Einsatz ihrer Technologien lösen Communities schnelle Innovationszyklen 
aus. Wo immer der Stand der Technik verbessert werden kann, können bestehende 
Lösungen in Frage gestellt werden. Sobald ein dominantes Design entsteht, wird es 
schnell in der gesamten Branche angenommen. Es wird zum de-facto-Standard und 
ein Wirtschaftsgut. Der Prozess der FOSS-Community ist kollaborativ und dennoch 
innovativ und konkurrenzfähig. Da sie ein ständig wachsendes Gemeingut an Gütern 
der freien Technologie produziert, wird sie in verschiedenen Bereichen als vorteilhaft 
für das Gemeinwohl angesehen. Viele gemeinnützige Organisationen, wie die Open 
Document Foundation, sind nicht nur nicht gewinnorientierte Organisationen, son- 
dern werden auch als gemeinnützig eingestuft. 
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Sowohl SSOs als auch FOSS-Communities unterscheiden zwischen ihren Produk- 
ten, dem Ergebnis ihrer Aktivitäten und ihren Prozessen, die beschreiben, wie diese 
Ergebnisse erstellt und vereinbart werden. Der Europäische Interoperabilitatsrahmen 
(European Commission 2017a) stellt beispielsweise Anforderungen an offene Stan- 
dards mit Blick auf den Normungsprozess, so dass alle Beteiligten die Möglichkeit 
haben, zur Entwicklung der Spezifikation beizutragen. Eine öffentliche Begutachtung 
und Kommentierung muss demnach Teil des Entscheidungsprozesses sein. Mit Blick 
auf die Lizenzierung des Produkts soll sichergestellt werden, dass die Rechte am geis- 
tigen Eigentum an den Inhalten der Spezifikation auf FRAND-Basis vergeben werden, 
so dass die Implementierung sowohl in proprietäre als auch in Open Source Software 
vorzugsweise auf lizenzfreier Basis möglich ist. In dieser Studie wird die Interaktion 
zwischen SSOs und FOSS-Communities in ähnlicher Weise getrennt und aus Produkt- 
und Prozesssicht analysiert. 


Wechselwirkungen zwischen Open Source und formeller Standardisierung 


Die aktuelle Forschung zur Beziehung zwischen FOSS und SSOs konzentriert sich auf 
die Kompatibilität von Lizenzbedingungen von „Freier Software“ mit denen von for- 
mellen Standards, insbesondere in Kombination mit den sogenannten standardessen- 
tielle Patenten (SEPs). Lundell et al. (2015) kommen zum Schluss, dass die Unsicher- 
heit über die Identität der Rechteinhaber und die darin enthaltenen Patentansprüche 
mit erheblichen Risiken für die Implementierer von FOSS verbunden sind und emp- 
fehlen eine gebührenfreie Lizenzoption von SEP für freie Softwareimplementierun- 
gen. Die Diskussion über die Definition offener Standard konzentriert sich vor allem 
auf die Beziehung zwischen den Lizenzbedingungen von Standards, die SEP enthal- 
ten, und die Durchführbarkeit einer Zusammenarbeit im Sinne des FOSS-Modells. Es 
scheint zwar akzeptiert zu sein, dass die Verfügbarkeit einer Open-Source-Software- 
Implementierung eine schnellere Annahme und Akzeptanz des Standards fördert, da 
alle einen einfachen Zugang zur Implementierung des Standards hat und ihn auspro- 
bieren und testen kann (Almeida et al. 2011), aber es gibt noch keine Einigung über 
die Lizenzbedingungen, die erforderlich sind, um freie Softwareimplementierungen 
zu erleichtern. Es kann zwar davon ausgegangen werden, dass das formelle Setzen 
eines Standards und die Implementierung in Bezug auf die Lizenzpolitik getrennt be- 
trachtet werden sollten aber Praktiken- wie die automatische Unterlizenzierung abge- 
leiteter Werke und die fehlende Überwachung einzelner Lizenzen und Lizenznehmer- 
werden als wesentlich für die Zusammenarbeit im Sinne eines FOSS-Modells angese- 
hen (Ghosh 2005). 

Die Zusammenarbeit zwischen SSOs und FOSS-Communities erscheint aufgrund 
des hohen Innovationstempos bei freier Software und des offensichtlichen Nutzens 
einer ständig wachsenden Anzahl von Softwareprodukten als Gemeingut wünschens- 
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wert. Die Kompatibilität der Lizenzbedingungen ist nur ein Aspekt, um diese Zusam- 
menarbeit zu ermöglichen. Beteiligte tragen freiwillig zu freier Software bei. Infor- 
mationsasymmetrien sowie Unterschiede in kulturellen Normen und Erwartungen 
können ihre Motivation dazu beeinflussen, möglicherweise bis hin zur Hemmung ei- 
ner erfolgreichen Zusammenarbeit. Hier sind integrative Partizipationskonditionen, 
finanzielle Förderung, Projektbegleitung sowie eine koordinierte Politikgestaltung 
erforderlich, um eine erfolgreiche Zusammenarbeit zwischen SSOs und FOSS-Com- 
munities zu realisieren (Openforum Europe 2017b). 

Obwohl die Frage der rechtlichen Kompatibilitätin Fachkreisen diskutiert und die 
Nützlichkeit der Zusammenarbeit zwischen SSOs und FOSS-Communities festgestellt 
wurde, gibt es kaum Untersuchungen darüber, welchen Nutzen beide Seiten aus einer 
solchen Zusammenarbeit ziehen würden. Aus der Praxis gibt es erfolgreiche Beispiele. 
Die Entwicklung des OpenDocument-Standards bringt die Beteiligte der Community 
und der Industrie bei OASIS zusammen. Die Zusammenarbeit führte zu einer ISO Norm 
(OASIS 2015). Das Standardisierungskonsortium IETF versteht sich als offene Organi- 
sation ohne formelle Mitgliedschaft und entwickelt Internet- und Netzwerkstandards 
wie TCP/IP oder das weit verbreitete Secure Shell (SSH)-Protokoll. Open Source Mano 
ist eine Initiative des Europäischen Instituts für Telekommunikationsnormen (ETSI) 
zur Entwicklung eines Open Source-NFV-Verwaltungs- und Orchestrierungs-Software- 
Stacks (MANO) (ETSI 2012). Solche Kooperationen sind jedoch noch eher selten. Die- 
ses Kapitel untersucht Faktoren zur Förderung und Hemmnisse für größere Koopera- 
tionen und entwickelt Empfehlungen für SSOs, FOSS, Regulatoren und Unternehmen, 
um diese umzusetzen. 


8.3 Modell und Ziele 


Ein grundlegendes Forschungsziel dieses Kapitels ist die Erstellung eines allgemein- 
gültigen Phasenmodells der Standardisierung, das auf verschiedene Standardisie- 
rungsinstrumente, einschließlich der formellen Standardisierung in SSOs und den 
FOSS-Prozessen, angewendet werden kann. Vor dem Hintergrund, dass die De-facto- 
Standardisierung organisch ist und recht unterschiedlichen Prozessen folgt und 
formelle Normungs- und Standardisierungsprozesse in der Regel gut definiert und 
strikt eingehalten werden, ist eines der Hauptziele dieser Studie die Entwicklung 
eines integrativen Standardisierungsmodells. Mit Hilfe des Standardisierungsmo- 
dells können SSO- und FOSS-Aktivitäten verglichen werden. Das Phasenmodell der 
Standardisierung unterstützt die Identifikation von komplementären und substitu- 
tiven Aktivitäten. Auf Basis des Modells können dann unterschiedliche Ansätze der 
Standardisierung beschrieben werden, die in den qualitativen Experteninterviews 
identifiziert werden. Abschließend möchten wird politischen Entscheidungsträgern, 
Unternehmen, SSO- und FOSS-Communities Empfehlungen zur Positionierung und 
Weiterentwicklung ihrer Organisationen gegeben. 
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Friihe und spate Standardisierung 


Ein Standard ist eine Art Vereinbarung tiber die funktionalen Erwartungen an ein 
Produkt, z.B. eine erwartete Qualität, Effizienz oder Leistung. Bei der De-jure-Stan- 
dardisierung besteht der Standard aus einer schriftlichen Spezifizierung von Eigen- 
schaften, die anschließend durch standardkonforme Produkte umgesetzt werden. Bei 
De-facto-Standards treten diese Ereignisse nicht unbedingt in dieser Reihenfolge auf. 
Produkte können implementiert, in den Markt eingeführt und mit einer nachträgli- 
chen schriftlichen Spezifikation von Eigenschaften zum Erfolg geführt werden. Dies 
deutet darauf hin, dass Innovationen, die zu Standards werden, Implementierungs- 
und Spezifikationsphasen aufweisen. Die Reihenfolge ist jedoch nicht vorgegeben. Es 
wird deshalb der Begriff „frühe Standardisierung“ verwendet, wenn die Spezifikation 
zuerst erstellt und dann implementiert wird, und „späte Standardisierung“, wenn die 
Implementierung zuerst erstellt und anschließend formell spezifiziert wird. 

Diese Beobachtung führt zu der Hypothese, dass Prozesse, die eine standar- 
disierende Wirkung verursachen, eine feste Reihe von relativ generischen Phasen 
durchlaufen und dass verschiedene Standardisierungsinstrumente sich in der Rei- 
henfolge unterscheiden. Eine standardisierende Wirkung beschreibt in diesem Zu- 
sammenhang den durch ein Standardisierungsinstrument herbeigeführten Übergang 
von einem wahrgenommenen Standardisierungsbedarf hin zu der Situation, in der 
dieser Bedarf durch die erfolgreiche weite Verbreitung einer Lösung im weiteren 
Sinne befriedigt wurde. Der Standardisierungsbedarf kann sich aus verschiedenen 
staatlichen, gesellschaftlichen oder marktwirtschaftlichen Motiven ergeben (Blind 
und Mangelsdorf 2016). Eine standardisierende Wirkung kann durch diverse Aktivi- 
täten aktiv oder auch eher beiläufig hervorgerufen werden. Abbildung 8.2 zeigt die 
verschiedenen Quellen, die eine standardisierende Wirkung hervorrufen können. 

Gesetze, die Rechtsprechung zum Beispiel zu Qualitäts- und Sicherheitsvorgaben, 
EU-Richtlinien, die national umgesetzt werden müssen, Mandate von Regulatoren an 
SSOs, die mittels eines konsensbasierten Prozesses, der auf freiwilliger Beteiligung 
und Einbeziehung aller interessierten Kreise basiert, die beste technische Umsetzung 
für regulatorische Vorgaben finden, Aktivitäten von nationalen und internationalen 
SSOs, Aktivitäten von Konsortien, Aktivitäten von FOSS-Communities, Verträge zwi- 
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Marktmacht einzelner Marktteilnehmer 


Abb. 8.2: Die standardisierende Wirkung von Marktaktivitäten (Quelle: Eigene Darstellung). 
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schen großen Marktteilnehmern zu Art, Qualität und Umfang von Dienstleistungen 
und Produkten, große Industrieallianzen, die sich zu technischen Anforderungen ab- 
stimmen, Anforderungen und Vorgaben der öffentlichen Beschaffung aber auch von 
großen industriellen Käufern, das vorhandene Angebot einzelner großer Markt-Player 
mit entsprechend großer Marktmacht und nicht zuletzt das Kundenverhalten bewir- 
ken eine standardisierende Wirkung, indem sie die Marktakteure zu einem gemeinsa- 
men Verhalten veranlassen. Standardisierungseffekte können zudem durch normali- 
sierte Bräuche und Praktiken verursacht werden, die durch Traditionen und Verhal- 
tenskodizes in einigen Industriezweigen, insbesondere im Handel, aber auch in In- 
dustriekonsortien, Berufscharta oder FOSS-Communities verbreitet sind. 

Um die nomenklatorische Verwirrung zu vermeiden, die sich aus der üblichen 
Verwendung des Begriffs „Standard“ im Sinne einer Norm als Dokument, z. B. ISO 216, 
sowie einer technischen Standardlösung ergibt, verwenden wir den Begriff Standard 
für eine überwiegend verwendete Lösung eines technischen Problems, den Begriff 
Spezifikation (und Norm synonym) für das Dokument, das diese Lösung beschreibt, 
und den Begriff Implementierung für ein Produkt, das den Standard gemäß der Spe- 
zifikation verkörpert. Andere Interpretationen dieser Begriffe sind möglich. Es würde 
jedoch den Zweck dieser Studie verfehlen, das Verständnis des Begriffs Standard auf 
eine formalisierte Spezifikation zu reduzieren, da es die meisten De-facto-Standards 
und insbesondere FOSS-Produkte ausschließen würde. 


Interoperabilität bei Software- und Schnittstellenstandards 


Die De-facto-Standardisierung folgt keinem gängigen Modell, das leicht beschrie- 
ben oder repliziert werden kann, denn die Marktkräfte bestimmen den Erfolg eines 
De-facto-Standards auf Basis von Produktverfügbarkeit, Marketingkompetenz und 
Timing. In Bezug auf FOSS wird diese Schwierigkeit, ein gemeinsames Modell für 
die Entwicklung von De-facto-Standards zu beschreiben, dadurch verstärkt, da es 
in FOSS-Communities eine Entwicklung weg von gemeinsamen Datenformate oder 
Kommunikationsprotokollen hin zu gemeinsamen Implementierungen gibt. 

Als Reaktion auf die Dominanz spezifischer Anwendungen im IKT-Sektor ging die 
breitere Open-Source-Community zunächst das Problem der Wiederherstellung einer 
wettbewerbsfähigen Umgebung an, indem sie Standarddatenformate entwickelte und 
sich für dominante kommerzielle Produkte einsetzte, um diese zu unterstützen. Der 
OpenDocument-Standard öffnete den Markt für Office-Pakete, indem er Microsoft Of- 
fice herausforderte (OASIS 2015). Die Existenz solch starker De-facto-Standards, die in 
dominanten proprietären Anwendungen implementiert wurden, kann auf die explo- 
sive historische Entwicklung des PC-Marktes zurückgeführt werden. 

Der weit verbreitete Einsatz vernetzter Anwendungen erhöhte den Wettbewerb 
im IKT-Sektor, indem er die Abhängigkeit von bestimmten Dateiformaten verringerte. 
Interoperabilität wurde erreicht, indem die Kommunikation zwischen verschiedenen 
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Anwendungen durch standardisierte Protokolle ermöglicht wurde. Eine relativ große 
und vielfältige Anzahl von Stakeholdern war an der Erstellung dieser Protokolle als 
offene und gebührenfreie Standards beteiligt, beispielsweise bei der Entwicklung des 
XML-Standards im World Wide Web Consortium (W3C) (W3C 2018). 

Mit der Einführung und erfolgreichen Diffusion von FOSS in Unternehmenskon- 
texten etablierten sich neue Formen der Zusammenarbeit in der Industrie. Open- 
Source-Dachorganisationen wie die Eclipse Foundation oder die Linux Foundation 
ermöglichten eine direkte, permanente Zusammenarbeit bei der Entwicklung von 
FOSS in großen Konsortien mit diversen Teilnehmern. Der daraus resultierende Be- 
stand an nicht differenzierender Software als Gemeingut bildet heute die Grundlage 
für proprietäre, darauf aufbauende kommerzielle Produkte. Der Fokus auf die Stan- 
darderstellung verlagerte sich wieder von den Protokollen auf die gemeinsame Um- 
setzung. Viele dieser Konsortien verfolgen heute eine Ccode-first-Philosophie und 
betrachten die Spezifikation nicht nur als eher nachgelagerte Begleiterscheinung, 
sondern auch als Grund für die Fragmentierung der Kommunität. Fragmentierung 
bezieht sich auf eine Situation, in der die gesamte Community konkurrierende Imple- 
mentierungen derselben technischen Lösung entwickelt, was zu einem Wettlauf um 
Akzeptanz und weniger Mitwirkende für jedes einzelne Produkt führt. Fragmentie- 
rung gilt als Verschwendung von Ressourcen, da in FOSS eine gemeinsam entwickelte 
Implementierung für alle verfügbar ist und der Wettbewerb um Marktanteile in diesem 
Fall unnötig ist (Parker-Johnson und Doiron 2018). 


Dauerhafte, nicht differenzierende Zusammenarbeit 


Anstatt mit standardkonformen Produkten verschiedener Hersteller um Marktantei- 
le zu konkurrieren, konkurrieren die Lösungen von FOSS bereits bei der Entstehung 
um Akzeptanz und Beiträge. Die Kombination von FOSS und proprietären Quellcode 
(auch als “Pareto-Regel der Software“ bezeichnet) ermöglicht es Produktentwicklern 
den Großteil ihrer Forschungs- und Entwicklungsausgaben in die Differenzierung von 
Produkteigenschaften zu investieren. 

Das daraus resultierende Modell der Zusammenarbeit bei der gemeinsamen Um- 
setzung von ansonsten konkurrierenden Marktteilnehmern unterscheidet sich von 
früheren Ansätzen, insbesondere der vorwettbewerblichen Forschungs- und Entwick- 
lungszusammenarbeit. Zuvor hatten Industriekonsortien ein ausgeklügeltes Mandat 
festgelegt, um eine vorwettbewerbliche Zusammenarbeit zu ermöglichen, ohne Be- 
denken wegen möglicher Absprachen in den Augen der Kartellbehörden aufkommen 
zu lassen. Im Rahmen des permanenten, nicht differenzierenden Kooperationsmo- 
dells arbeiten Unternehmen nun unter der Schirmherrschaft von FOSS-Stiftungen 
kontinuierlich an den nicht-differenzierenden Elementen des Software-Stacks mit 
ihren Wettbewerbern zusammen. So wird konkurrierenden Marktteilnehmer ermög- 
licht, kontinuierlich zusammenzuarbeiten, um einen gemeinsamen Software-Stack 
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Abb. 8.3: Vorwettbewerbliche Kollaboration und kollaborative Koexistenz (Quelle: Eigene 
Darstellung). 


zu entwickeln, der als grundlegende, nicht differenzierende Technologievorausset- 
zung für Produkte dient, die freie und proprietäre Software kombinieren. Im Ge- 
gensatz zur vorwettbewerblichen Zusammenarbeit bei der Entwicklung proprietärer, 
differenzierender Produkte sind kartellrechtliche Bedenken im permanenten, nicht 
differenzierenden Kooperationsmodell nicht relevant, da eine Kollusion nicht möglich 
ist, wenn die Ergebnisse unmittelbar der Öffentlichkeit zur Verfügung stehen und der 
Entwicklungsprozess generell allen interessierten Akteuren offensteht. Abbildung 8.3 
illustriert die vorwettbewerbliche Kollaboration und kollaborative Koexistenz. 

Permanente, nicht differenzierende Zusammenarbeit reduziert die Transaktions- 
kosten der Zusammenarbeit durch nicht verhandelbare freie Softwarelizenzbedingun- 
gen erheblich und eliminiert Wohlfahrtsverluste, die durch die parallele Entwicklung 
von Produkten in einem Wettbewerb um den besten Standard entstehen. Implemen- 
tierer sind motiviert sich an der Zusammenarbeit zu beteiligen. Die Möglichkeit, den 
Großteil des Software-Stacks zu teilen ist die Voraussetzung für die Produktion mit 
wettbewerbsähnlichen Kosten. 
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Die Entstehung des permanenten nicht differenzierenden Kooperationsmodells 
beeinflusst die Wirksamkeit von Standardisierungsinstrumenten. Der Nutzen von 
Spezifikationen verringert sich, wenn angenommene Standards auf einer einzigen, 
sich schnell entwickelnden gemeinsamen Implementierung basieren. Wo ein solches 
Entwicklungsmodell anwendbar ist, wie z.B. mit dem Linux-Kernel, ist Interopera- 
bilität von Anfang an gegeben, so dass die Spezifikation diesem Zweck nicht mehr 
dient. Als Code-First-Organisation arbeiten AGL-Mitglieder zusammen, um eine neue 
Linux-basierte Software-Plattform und ein Anwendungs-Framework zu entwickeln, 
das als De-facto-Standard für die Automobilindustrie dient. Die Einführung einer 
offenen Plattform in der gesamten Branche ermöglicht es Automobilherstellern und 
Zulieferern, dieselbe Codebasis gemeinsam zu nutzen und wiederzuverwenden, was 
die Entwicklungskosten senkt, die Zeit bis zur Markteinführung (Time-to-Market) für 
neue Produkte verkürzt und schnelle Innovationen ermöglicht (AutomotoveGradeLi- 
nux 2018). In solchen Szenarien dient der Produkt-Quellcode als Dokumentation des 
Standards, was eine Spezifikation grundsätzlich überflüssig macht. Eine Spezifikation 
kann dennoch nützlich sein, wenn sie über die reine Förderung von Interoperabilität 
hinaus nützlich ist, beispielsweise um Sicherheitsvorgaben oder andere regulatori- 
sche Anforderungen zu dokumentieren. 


Phasenmodell der Standardisierung 


Der formelle Normungs- und Standardisierungsprozess variiert zwischen den ver- 
schiedenen SSOs, erfolgt jedoch in der Regel durch eine Kombination von Antrags-, 
Vorbereitungs-, Beratungs-, Revisions-, Genehmigungs- und Veröffentlichungsstu- 
fen (Torti 2015). Initial werden ein oder mehrere Normungsanträge zur Abstimmung 
durch das zuständige technische Komitee eingereicht. Nach der Identifizierung des 
Vorschlags mit der größten Unterstützung durch Experten diskutiert eine Arbeits- 
gruppe die vorgeschlagenen technischen Lösungsansätze zur Entwicklung des neuen 
Standards. Anschließend wird ein Entwurf veröffentlicht, zu dem die Öffentlichkeit 
Stellung nehmen kann. Die Stellungnahmen werden in der Arbeitsgruppe diskutiert 
und eine endgültige Fassung veröffentlicht (Torti 2015), die ab diesem Zeitpunkt als 
offizieller Stand der Technik vermarktet und verbreitet wird, um eine hohe Marktak- 
zeptanz und -durchdringung zu erreichen. 

Strukturierte Prozesse zur Entwicklung neuer Produkte, die technische Lösungen 
implementieren und zu De-facto-Standards werden, folgen in ihren Grundzügen den 
Phasen Produktstrategieentwicklung, Ideengenerierung, Screening, Evaluierung, 
Businessanalyse, Produktentwicklung, Markttests und Kommerzialisierung (Stamm 
2008). Diese Phasen wurden im Laufe der Zeit mehrfach in der Literatur übernom- 
men, modifiziert und schließlich in drei Hauptschritte unterteilt: Vorentwicklung, 
Produktentwicklung sowie Test und Kommerzialisierung (Stamm 2008). 
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Basierend auf diesen beiden Prozessmodellen der Standardisierung und der Pro- 
duktentwicklung durchlaufen alle Produkte mit einer ,,standardisierenden Wirkung“ 
vier grundlegende Phasen - Ideation (Ideenentwicklung), Spezifikation, Implemen- 
tierung und Diffusion. Abbildung 8.4 zeigt die vier grundlegenden Phasen im Phasen- 
modell der Standardisierung. Die Reihenfolge dieser Phasen hängt von der gewähl- 
ten Strategie bzw. dem gewählten Standardisierungsinstrument ab und kann iterativ 
mehrfach durchlaufen werden. 

Ausgangspunkt ist das strategische Bedürfnis nach einer standardisierten Lö- 
sung, die eine strategische Entscheidung zur Initiierung eines Prozesses oder zur 
Partizipation an einem Prozess mit einer standardisierenden Wirkung auslöst. Die 
Notwendigkeit kann beispielsweise durch einen Mangel an akzeptablen Lösungen 
auf der Mikroebene verursacht werden. Ineffizienzen, die zu Reibungsverlusten zwi- 
schen Akteuren führen und somit Interoperabilität auf der Makroebene erfordern, 
oder durch gesellschaftliche Bedürfnisse, wie Anforderungen an Sicherheitsstan- 
dards. Bedürfnisse der Mikro- und Makroebene stellen einen Standard-Pull (nachfra- 
georientierte Zugkraft aus dem Markt) für die Standardisierung dar, während neben 
dem nachfrageorientierten Bearbeiten von Normungsanfragen SSOs auch im eige- 
nen Interesse durch einen Standard-Push (nicht nachgefragter Schub in den Markt) 
eigeninitiativ und strategisch frühe Standards setzen, um gegenüber anderen SSOs 
ein Thema zu besetzen, oder gesellschaftliche Bedürfnisse einen regulatorischen 
Standard-Push erfordern. In jedem Fall veranlasst die Notwendigkeit der Standardi- 
sierung die Marktteilnehmer, die Entwicklung einer technischen Lösung durch den 
Eintritt in die Ideenphase (Ideation) einzuleiten. In der Ideenphase werden mögliche 
Spezifikations- oder Umsetzungsansätze und -lösungen vorgeschlagen, analysiert 
und bewertet, bis ein erfolgversprechendes erstes Konzept gefunden ist. Der Prozess 
der De-jure- oder De-facto-Standardisierung beginnt mit einem Vorschlag für eine 
technische Lösung für einen wahrgenommenen Standardisierungsbedarf. Dieses Ver- 
ständnis entspricht dem klassischen Konzept des Verhältnisses von Anforderungen, 
Bedürfnissen und Nachfrage in der Wirtschaft. Ab der Ideation unterscheiden sich 
De-jure- und De-facto-Standardisierungsprozesse. Wenn die beteiligten Akteure eine 
formelle Standardisierungsstrategie wählen, treten sie nun in die Spezifikationsphase 
ein. Unter der Moderation einer SSO und unter Anwendung eines strukturierten, for- 
malisierten und transparenten Prozesses, wird eine Spezifikation für die gewünsch- 
te technische Lösung erstellt und formell genehmigt. Sobald diese Spezifikation, 
das formale Standarddokument, veröffentlicht ist, ermöglicht es den Herstellern, 
in die Implementierungsphase einzutreten und mit allen normgerechten Produk- 
ten zu konkurrieren, die nun der ursprünglichen Nachfrage nach einem Standard 
entsprechen. Der Standard ITU-T V.24, der Empfehlungen für die Datenendeinrich- 
tung/Datenübertragungseinrichtung-Schnittstelle zur Übertragung von Binärdaten, 
Steuer- und Zeitsignalen ausspricht (ITU-T. V.24 2000), ist ein Beispiel für einen for- 
malen technischen Standard, der nach seiner Veröffentlichung den Preiswettbewerb 


113 


8.3 Modell und Ziele 


(,]APOW-a4L-4eI1S “ zany Jayep aIpNis Jap puasyem yəy pun yal] 187S 
uoa aSlidia}uq YIuISWNeY sep ue Neqjny pun WIOJ yw auUlJa WWeIse!q Seq) *(SuN}}a}S1eq 3Ua317 :3]]9ND) SuNsaisipsepuels Jap Jepowuaseyd :7'8 “qqy 


Sunsaisipsepueys-0728}-3g 


a 
Š 
KD 

~$ SPJEPUE}S UOA UƏ2}ƏSŞ SoyISIS9}e1}5 SoPaNYUIUaSIa g 'Z:ƏUƏQJ-OSS «+ 
À uadunsapsojuesyaysaypis UOA UaZ}asyDING"g 'ZBUƏQJƏPSHOJeJNƏY + 
e 8 :ysng-puepuers 

a E 5 =- 

F 2 

8 3 ® 

FE Z 

qzyeseByunp E 2 g 

isn omar & 3 

ey psepuejs g g A 

AH E 

ae 2 

a 2 V 
“ > 
3 ee Jeiqesadosaquy yeu aBeyyen 'g'z:susgsoyen + 
= $ uaSunsa3iayszu91714453 peu aBeyyeN 'g'z:ausgaonın + 
~ 4INd-puepuers 
ES 


BunJalsıpJepuers-aunl-ag 


114 — 8 Normungs- und Standardisierungsorganisationen und Open Source Communities 


durch eine Vielzahl von Implementierern gefördert hat. Dieser Ansatz beschreibt das 
frühe Standardisierungsmodell. 

Alternativ können die Anbieter auch sofort in die Implementierungsphase ein- 
treten, indem sie Produkte entwickeln und ohne vorherige Spezifizierung in den 
Markt einführen. Die daraus resultierenden Produkte werden nicht systematisch in- 
teroperabel sein, auch wenn der Druck des Marktes die Anbieter zwingen kann, ihren 
Verbrauchern ein gewisses Maß an Kompatibilität mit konkurrierenden Produkten zu 
bieten. Die Verbrauchernachfrage und der angenommene ursprüngliche Bedarf an 
Standardisierung können die Anbieter dazu motivieren, nach der Einführung ihrer 
Produkte formale Spezifikationen zu erstellen. Durch die Apriori-Implementierung 
und nachgelagerte Spezifikation haben sich diese Hersteller für ein spätes Standar- 
disierungsmodell entschieden, wie es für FOSS-Communities üblich ist. Die Open 
Container Initiative wurde beispielsweise ins Leben gerufen, nachdem die marktbe- 
herrschende Stellung des Docker-Containermotors die Notwendigkeit offenbarte, den 
Wettbewerb durch Spezifikationen von Containerlaufzeiten und verwandten Produk- 
ten wieder in Gang zu bringen. Die Open Container Initiative definiert sich als eine 
offene Governance-Struktur für den ausdrücklichen Zweck offene Industriestandards 
rund um Containerformate und Laufzeit zu schaffen (Open Container Initiative 2018). 

Der Prozess der technischen Standardisierung endet mit der Übernahme einer 
oder mehrerer Lösungen für den ursprünglichen Bedarf an Standardisierung. Sind 
spezifikationskonforme Produkte erst einmal verbreitet, werden die Marktteilnehmer 
in eine Kombination aus Preiswettbewerb um die standardisierten Produkteigenschaf- 
ten und Produktwettbewerb um ihre differenzierenden Eigenschaften geführt. Der Er- 
folg ihrer Produkte manifestiert sich in einer schwachen oder starken Marktpositi- 
on. Im IKT-Markt, insbesondere bei Netzwerk- und Plattformprodukten, können Netz- 
werkeffekte dazu führen, dass der Markt zu einem dominanten Anbieter „kippt“ und 
sein Produkt zu einem De-facto-Standard wird (Shapiro und Varian 1998). Unabhän- 
gig von der Standardisierungsstrategie endet der Standardisierungsprozess für diesen 
spezifischen Bedarf, sobald eine Lösung zum anerkannten und angewendeten Stan- 
dard geworden ist. 

In der Realität ist der Entwicklungsprozess eines bestimmten Standards und der 
entsprechenden Implementierungen möglicherweise nicht so eindeutig getrennt. Un- 
ternehmen können sich gleichzeitig in der Implementierungs- und Spezifikationspha- 
se engagieren, z.B. um vor oder während der Implementierung eines formellen Stan- 
dards standardessentielle Patentanmeldungen einreichen zu können, oder um ihre 
Produkte noch während der Entwicklung des formellen Standards oder direkt danach 
einführen zu können. Einige Unternehmen mit Erfindungen entscheiden sich strate- 
gisch dafür, sich an der Entwicklung von Standards zu beteiligen, um die Marktunsi- 
cherheit zu verringern oder die Konformität mit Regulierungen sicherzustellen (Blind 
und Mangelsdorf 2016). Als dritte Alternative neben der frühen und späten Standar- 
disierung haben sich diese Akteure für ein paralleles Standardisierungsmodell ent- 
schieden (Lundell et al. 2015). 
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Das in dieser Studie entwickelte Vier-Phasen-Modell ist in der Lage, eine Vielzahl 
von frühen, späten oder parallelen Standardisierungsprozessen zu beschreiben. Da 
FOSS-Initiativen in der Regel einem späten oder parallelen Standardisierungsmodell 
folgen, dient das Modell als Referenz für eine vergleichende Analyse der Entwicklung 
von SSO- und FOSS-basierten Standards. Auf Grundlage des Modells kann nun im Hin- 
blick auf den Übergang von der Idee zur Marktdiffusion die Frage beantwortet werden, 
welche Faktoren ausschlaggebend sind, um sich für eine frühe, parallele oder späte 
Standardisierung zu entscheiden. Aus den in dieser Studie erhobenen empirischen 
Daten lassen sich zwei Einflussfaktoren ableiten. Erstens, die Änderungs- und Anpas- 
sungskosten und zweitens das branchenspezifische Innovationstempo. 


8.4 Methode und empirische Ergebnisse 


Beide Seiten, SSOs und FOSS-Communities, repräsentieren eine gewachsene und eta- 
blierte Kultur, die in quantitativer Hinsicht schwer zu beschreiben ist. Die empirische 
Untersuchung für dieses Papier wurde in drei Schritten durchgeführt. Zunächst wer- 
den Daten durch eine Reihe von qualitativen Experteninterviews erhoben. Zweitens 
wird ein Modell aufgestellt, um eine allgemeingültige Vergleichbarkeit der einzelnen 
Prozesse zu ermöglichen. Drittens wird aus den Interviews ein Kontext der gemein- 
samen Chancen und Risiken herausgearbeitet, der durch wichtige Entwicklungen im 
IKT-Sektor hervorgerufen wird, die sowohl SSOs als auch FOSS betreffen. Auf der Ba- 
sis werden zwei separate SWOT-Analysen durchgeführt, um die Ergebnisse für beide 
Bereiche individuell zu strukturieren. Durch eine vergleichende Analyse der beiden 
SWOT-Ergebnisse wurden mögliche Bereiche konkurrierender und komplementärer 
Aktivitäten zwischen SSOs und FOSS identifiziert. 


Risiken und Chancen im IKT-Ökosystem 


SSOs und die breitere Open-Source-Community operieren im gleichen Raum der tech- 
nischen Innovation und werden von Risiken und Chancen beeinflusst, die durch 
Markttrends, technologische Entwicklungen und langfristige gesellschaftliche Para- 
digmenwechsel verursacht werden, die zumindest kurz- bis mittelfristig außerhalb ih- 
rer Kontrolle liegen. Der weit verbreitete Einsatz von Computern und die Schaffung des 
Internets führten zur Digitalisierung und zur Entstehung der digitalen Gesellschaft. 
Während andere technische Fortschritte der letzten Zeit evolutionär erscheinen, hat 
die Digitalisierung die Wirkung einer radikalen Innovation auf globaler Ebene. Die 
Digitalisierung führt zu vielen disruptiven Innovationen (WEC 2016). 

Der wesentliche Effekt der Digitalisierung in diesem Kontext ist die drastische 
Reduzierung von Transaktionskosten der Zusammenarbeit und des Informationsaus- 
tauschs. Drei wesentliche Paradigmenwechsel im Zusammenhang mit der Digitalisie- 
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rung wurden in dieser Studie identifiziert. Die Entwicklung besserer Methoden der Zu- 
sammenarbeit, ein allgemeiner Trend zu Offenheit und Transparenz sowie eine Ver- 
schiebung der Relevanz von nationaler zu supranationaler und internationaler Zu- 
sammenarbeit und Regulierung. Ein vierter einflussreicher Trend ist der Wandel im 
Verständnis der Rolle des modernen Staates. Früher in vielen Ländern als Anbieter 
von Arbeitsplätzen durch den öffentlichen Dienst und als Produzent von Gütern und 
Dienstleistungen durch öffentliche Unternehmen konzipiert, setzt der Staat in seiner 
modernen Form die Regeln und greift ein, um Marktversagen zu korrigieren, anstatt 
sich selbst als Substitutionsmarkt und Manager von Unternehmen einzubringen (Ti- 
role 2016). SSOs und FOSS nehmen die Digitalisierung als Schlüsselfaktoren für ihre 
Interaktion untereinander und mit der Gesellschaft wahr. 

Die Entwicklung verbesserter Methoden der Zusammenarbeit steht in direktem 
Zusammenhang mit der Nutzung des Internets als Mittel der direkten Kommunika- 
tion zwischen den Nutzern. Online-Kollaborationsinstrumente machen die Veröf- 
fentlichung und Verteilung physischer Dokumente nahezu überflüssig, erleichtern 
die Teilnahme unabhängig von der physischen Umgebung und ermöglichen eine 
Transparenz, die bisher aufgrund der hohen Kosten für die Teilnahme und den Infor- 
mationsaustausch nicht möglich war. Detaillierte formelle Standards sind in einem 
Workflow nützlich, in dem diese Standards, die im Vorfeld in direkter Zusammen- 
arbeit erstellt wurden, zur Spezifikation für die nachfolgende eigenständige Ent- 
wicklung konformer Produkte werden. Dieser Workflow war effektiv, weil die direkte 
Zusammenarbeit teuer und zeitaufwändig war. Ihr Nutzen ist heute weniger klar, vor 
allem im Bereich der Software und softwarebezogener Technologien, wo permanente 
Online-Zusammenarbeit und die durchgängige Verfügbarkeit aller relevanten Doku- 
mentationen die Regel sind. Es entstehen weniger zentralisierte und integrativere 
Entscheidungsmodelle, die formell und informell geregelte Gremienarbeit sowie das 
in die Gremienmitglieder gesetzte Maß an Vertrauen und Autorität zunehmend über- 
flüssig machen. Diese Veränderung kann sowohl als Chance als auch als Bedrohung 
empfunden werden, je nachdem, inwieweit die Arbeit in formell ernannten Ausschüs- 
sen von zentraler Bedeutung für die Kultur und das Geschäftsmodell der Organisation 
ist. Einige SSOs, wie das Institute of Electrical and Electronics Engineers (IEEE), re- 
agierten mit der Dezentralisierung ihrer Gremienarbeit. FOSS-Communities sind in 
der Regel dezentral organisiert. Meritokratie in Online-Communities bedeutet, dass 
z.B. ein Vertreter eines großen Industrielandes nicht mehr Einfluss haben sollte als 
ein Vertreter eines Entwicklungslandes. Diese Chancen für einen globalen industriel- 
len Innovationsprozess, bedingt durch die Zunahme der Stakeholder-Vielfalt, werden 
von den Unternehmen, die von den alten Methoden profitiert haben, als Bedrohung 
empfunden. Die zunehmende Zahl von Start-ups und Spin-offs und insbesondere die 
Zusammenarbeit mit diesen wird als Chance gesehen, um in neuen Technologiebe- 
reichen relevant und erfolgreich zu bleiben. SSOs sind auf neue technische Lösungen 
und qualifizierte Experten angewiesen, die sich in die formelle Standardisierung 
einbringen. Die Entwicklung innovativer marktrelevanter Standards erfordert neue 
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innovative Gremienmitglieder sowie den Zugang zu innovativen Spitzentechnologi- 
en, die von den teilnehmenden Mitgliedsunternehmen eingebracht werden. Diese 
Herausforderung für SSOs erfordert ein Umdenken mit Blick auf Kollaborationen und 
die Gremienarbeit. Sie stellt eine Chance dar, um mit Innovatoren und der breiteren 
Open-Source-Community zusammenzuarbeiten. 

Neue Möglichkeiten des Informationsaustauschs führen zu einem großen Trend 
hin zu mehr Offenheit und Transparenz. Was mit FOSS als eine Bewegung in Richtung 
grundlegender Benutzerfreiheiten begann (Stallman und Lessig 2010) verbreitete sich 
u.a. zu Open Access in der Wissenschaft, zu offenen Daten und offenen Organisa- 
tionen (Whitehurst 2015). Die bestehenden Institutionen entwickelten und manifes- 
tierten sich teilweise unter der Annahme, dass eine direkte dezentrale und allgegen- 
wärtige Zusammenarbeit zwischen allen Beteiligten teuer oder praktisch unmöglich 
ist. Durch die Digitalisierung sind heute jedoch die technischen Mittel für eine solche 
dezentrale Zusammenarbeit vorhanden, so dass die Erwartung entsteht, dass trans- 
parente und offene Methoden der Zusammenarbeit breiter angewendet werden soll- 
ten. FOSS-Communities sind ein Beispiel für neue Institutionen, die sich dem Para- 
digma der transparenten Zusammenarbeit anpassen. In die Kultur von SSOs sind Re- 
geln für den Umgang mit geistigen Eigentumsrechten sowohl gegenüber den Normen 
als eigenständige Produkte als auch gegenüber den in den technischen Inhalten der 
Norm enthaltenen Erfindungen tief verwurzelt. So werden beispielsweise vom Deut- 
schen Institut für Normung e. V. (DIN) Normen auch in gedruckter Form über einen 
Verlag vertrieben. Detaillierte IPR-Lizenzierungsrichtlinien von SSOs regeln, wie SEP 
den Implementierern zur Verfügung gestellt werden. Obwohl sich viele SSOs als trans- 
parent, inklusiv und offen betrachten, sind SSOs eng mit dem Begriff der Exklusivität 
verknüpft. Der Trend zur Offenheit stellt die SSOs somit vor den Spagat zwischen Ex- 
klusivität und offener Zusammenarbeit. Durch die begrenzte Anzahl von Teilnehmern 
in formellen Normungsgremien bekommen die Teilnehmer einen erheblichen Wis- 
sensvorsprung gegenüber Nichtteilnehmern. SSOs können ihren Mitgliedern Markt- 
beeinflussung, Kontrolle über IPR und Time-to-Market-Vorteile bieten, weshalb die 
institutionalisierte formelle Standardisierung sowohl bei der Industrie als auch bei 
den Regulierungsbehörden als erfolgreiches Instrument angesehen wird. Auch wenn 
die Trennung zwischen Exklusivität und Trend-zur-Offenheit in einigen Interviews als 
Konflikt zwischen den etablierten Unternehmen und der Beteiligung von FOSS-Com- 
munities beschrieben wurde, geben Unternehmen an, dass sie gleichzeitig erfolgreich 
ihre Kerngeschäfte mit FOSS-Aktivitäten kombinieren können. Die Zahl der Unterneh- 
men, die an Kooperationsprojekten bei FOSS-Dachverbänden wie der Linux Foundati- 
on teilnehmen, zeigt, dass es für Unternehmen keine grundsätzliche Schwierigkeiten 
darin gibt, offene und transparente Kooperationsmodelle einzuführen und dass die 
gemeldeten Schwierigkeiten vor allem in bestimmten Branchen relevant sind, in de- 
nen das traditionelle Modell der Normung und Standardisierung in Kombination mit 
IPR-Lizenzierung für die beteiligten Unternehmen am vorteilhaftesten ist, beispiels- 
weise im Bereich der Telekommunikation und Mobilkommunikation. 


118 — 8 Normungs- und Standardisierungsorganisationen und Open Source Communities 


Die Debatte auf der europäischen Ebene über die Rolle von Patenten, SEP und fai- 
ren, angemessenen und nichtdiskriminierenden (FRAND) Lizenzen bei der IKT-Stan- 
dardisierung zeigt eine starke Stakeholder-Polarisierung, die auf beiden Seiten das 
Eingehen von Kompromissen verhindert, auch wenn sich Chancen und Risiken fiir 
alle Beteiligten bieten. Die intensive Einflussnahme von etablierten Institutionen wie 
dem Europäischen Patentamt (EPA) wird von der breiteren Open-Source-Community 
als Bedrohung empfunden, vor allem das sich wiederholende Muster, andere geisti- 
ge Eigentumsrechte oder vertragliche Vereinbarungen zu nutzen, um die von freien 
Softwarelizenzen gewährten Nutzungsrechte zu mindern, welche die grundlegenden 
Ideale der Softwarefreiheit repräsentieren. In der Vergangenheit wurden Contributor 
License Agreements (CLA), Markenlizenzprogramme, Geschäftsgeheimnisse z.B. in 
Form von verzögerten Quellcode-Releases, SEP in Kombination mit FRAND-Lizenzen 
und andere Mittel eingesetzt, um eine privilegierte Position eines Unternehmens auf 
Kosten der Softwarefreiheit zu erhalten. Andere Akteure haben versucht, den Begriff 
Open Source neu zu definieren, mit dem Ziel, die Wiederverwendung des Quellcodes 
oder die Entwicklung abgeleiteter Werke zu verhindern. Solche Aktivitäten werden 
im weiteren Sinne als „FUD“ (fear, uncertainty and doubt; dt: Angst, Unsicherheit und 
Zweifel) bezeichnet und gelten als Bedrohung für die Existenzfähigkeit des Upstream- 
Downstream-Modells. Die Versuche sind jedoch selten erfolgreich (Corbet und Kroah- 
Hartman 2018). 

Um relevante, adäquate und frühzeitige Standards veröffentlichen zu können, 
betrachten SSOs ihre IPR-Regeln und SEP-Richtlinien als Chance. Sie sollen Anreiz 
für Innovatoren sein, die durch das Einbringen ihrer Technologien in einen formellen 
Standard attraktive Renditen für ihre Forschung- und Entwicklungsaufwendungen 
erzielen können. Andere Technologieentwickler hoffen darauf, einen De-facto-Stan- 
dard zu etablieren, indem sie ihre technischen Lösungen unter einer FOSS-Lizenz 
anbieten, was wiederum ihre Motivation zur Teilnahme an der Standardsetzung bei 
SSOs verringert. Die Konvergenz der Technologien, die Durchdringung nahezu al- 
ler Technologiefelder durch IKT (Digitalisierung) sowie die Trends zu Open Data, 
Open Information und Open Access erhöhen die Bedeutung von Interoperabilität und 
Schnittstellenstandards. Die Teilnehmer haben die Wahl zwischen der Erstellung von 
Spezifikationen, gemeinsamen Implementierungen oder beidem. Dies wurde in den 
Interviews als eine Chance identifiziert, denn die Nachfrage nach entsprechenden 
formellen Standards und Spezifikationen steigt. Darüber hinaus haben SSOs die Mög- 
lichkeit, den Prozess der Normung und Standardisierung zu verschlanken, eine Platt- 
form für gemeinsame Implementierungen mit der FOSS-Community zu schaffen und 
für beide eine potenzielle Zusammenarbeit zu ermöglichen. Die FOSS-Communities 
sind besonders sensibel gegenüber den wahrgenommenen Gefahren des Trittbrettfah- 
rens von SEP-Inhabern und die potenziellen Risiken, die sich aus Informationsasym- 
metrien zwischen Patentrechtsinhabern und der Community ergeben. FOSS-Commu- 
nities nehmen vor allem die fehlende Klarheit darüber, was FRAND in der Realität 
und im Detail bedeutet und die Gefahr, dass nicht teilnehmenden Unternehmen, 
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die somit nicht an die SSO-Lizenzpolitik gebunden sind, Rechte gegen gemeinsame 
Implementierungen geltend machen, als starke Bedrohung wahr. Die breitere Open- 
Source-Community ist jedoch in der Regel zuversichtlich, dass sie über hohe eigene 
Innovationskapazitäten verfügt, was die Gefahr verringert, dass nicht teilnehmende 
Unternehmen Patente erhalten, die wesentliche FOSS-Technologien berühren. 

Die Verlagerung der Rolle des modernen Staates von einem Arbeitgeber und 
Produzenten zu einem Regulierer schafft ein neues Gleichgewicht zwischen gesell- 
schaftlichen sowie regulatorischen Interessen und der Industrie (Tirole 2016). Die 
formelle Normung und Standardisierung gewinnt in ihrer Rolle als Anbieter von Refe- 
renzrahmen und Regeln, die die Regulierer zur Festlegung von Richtlinien oder Rah- 
menverträgen nutzen können, an Bedeutung. In diesem Zusammenhang unterstützen 
Standards die Sicherstellung der Einhaltung von Compliance- und Rechtsfragen. Dies 
ist eine Chance für nationale Normungsgremien, die in regionale oder internationa- 
le SSOs eingebunden sind, da ihr Wirkungsbereich der erweiterten regulatorischen 
Reichweite entspricht. Dieser Trend unterstützt die Erwartungen an die Offenheit von 
Standards. Der Europäische Interoperabilitätsrahmen fordert offene Standards, um 
allen Beteiligten die Möglichkeit zu geben, zur Entwicklung der Spezifikation beizu- 
tragen, die Verfügbarkeit der Spezifikation für alle zu prüfen und die entsprechenden 
Rechte am geistigen Eigentum auf FRAND-Basis so zu lizenzieren, dass sie sowohl 
in proprietärer als auch in Open Source Software und vorzugsweise auf lizenzfreier 
Basis implementiert werden können (European Commission 2017a) (European Com- 
mission. 2017c). Es scheint eine allgemeine Erwartung in den Communities zu geben, 
dass von Regulierungsbehörden mandatierte Standards offen sein sollten. 

Diese Haltung steht im Zusammenhang mit dem oben beschriebenen allgemei- 
nen Trend zu Offenheit und Zusammenarbeit. Es besteht im Allgemeinen die Erwar- 
tung, dass mit öffentlichen Mitteln entwickelte Standards kostenlos zur Verfügung ge- 
stellt werden. Genauso besteht die Erwartung, dass mit öffentlichen Mitteln entwickel- 
te Software immer unter einer freien Softwarelizenz veröffentlicht werden sollte. Die 
Kampagne „Public Code Public Money“ (Free Software Foundation Europe 2018) ist 
eine Community-Aktion, die sich für diesen Ansatz einsetzt. 

Der Fokus auf Regulierung birgt sowohl für SSOs als auch für FOSS-Communities 
Chancen. Eine mögliche Diskrepanz zwischen der technischen Entwicklung und der 
sozialen Verantwortung, welche die Regulierungsbehörden nicht aus den Augen ver- 
lieren dürfen, besteht. Es ist üblich, dass SSOs Verträge mit dem Staat abschließen 
oder ganz staatlich geführt werden und sich verpflichten, ein breites Spektrum von 
Stakeholdern in ihre Standardsetzungsprozesse einzubeziehen sowie die soziale Ver- 
antwortung mit Blick auf die standardisierten technischen Lösungen zu berücksich- 
tigen. Dieser bestehende institutionelle Rahmen zwischen SSOs und der Öffentlich- 
keit versetzt SSOs in die einzigartige Lage, Standards zu entwickeln, die dann quasi 
rechtlich bindend werden. Die selbstregulierte FOSS-Community ist nicht nur nicht 
verpflichtet, soziale Verantwortung zu übernehmen, sie weigert sich oft ausdrücklich, 
sich von Stakeholdern beeinflussen zu lassen, die nicht aktiv an der Entwicklung ihrer 
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Produkte beteiligt sind. Die freiwillige Teilnahme ist ein wirksamer Regulator, um si- 
cherzustellen, dass die Gemeinden selbst fiir eine Vielzahl von Beitragszahlern offen 
sind. Sie lenkt die Gemeinden jedoch nicht dazu, externe Interessen im Auge zu behal- 
ten. Da die breitere Open-Source-Community einen wichtigen und spürbaren Einfluss 
auf die Gesellschaft hat, besteht ein artikuliertes öffentliches Interesse an der Ent- 
wicklung Freier Software, auf die Regulierer im Bedarfsfall regulatorisch eingreifen 
können. Dies kann als ein Risiko für die breitere FOSS-Community verstanden wer- 
den, die sich bisher in erster Linie selbst reguliert. Die meisten Gemeinden sind sich 
dieser Möglichkeit nicht voll bewusst oder akzeptieren sie nicht. 

Eine weitere Veränderung, die in den Interviews identifiziert wurde, ist die Ver- 
schiebung der Relevanz von nationaler zu supra- und internationaler Zusammen- 
arbeit und Regulierung durch die Globalisierung. Es liegt auf der Hand, dass die 
Vorteile von Normen und Standards umso größer werden, je weiter sie angenom- 
men werden. Die verschiedenen Typen von Netzsteckern erinnern regelmäßig daran, 
dass SSOs ursprünglich in ihren Ländern auf nationaler Ebene entwickelt wurde und 
erst später begannen, international zusammenzuarbeiten. Es ist auch offensichtlich, 
dass die parallele Entwicklung technischer Normen und Standards in verschiedenen 
nationalen Normungsgremien einen Wohlfahrtsverlust darstellt. Die Interaktion mit 
Regulierungsbehörden in Europa findet jedoch auf nationaler und EU-Ebene statt. 
Die daraus resultierende Notwendigkeit einer neuen Abgrenzung der Verantwortlich- 
keiten ist sowohl eine Chance als auch eine Bedrohung für SSOs. Die Entwicklung 
von Normen kann sich in Richtung internationaler, möglicherweise branchenspezi- 
fischer Normungsorganisationen verlagern, während die Verbreitung, Übersetzung 
und Übernahme von Normen sowie die Adaption an nationale Besonderheiten in 
der Verantwortung der nationalen Normungsorganisation verbleiben kann. Natio- 
nale Grenzen spielten für die FOSS-Communities keine wichtige Rolle, auch wenn 
es kulturelle Barrieren gibt. Der Zusammenhalt innerhalb der Community ist stark 
und bündelt sich in Regionen mit einem gemeinsamen kulturellen und sprachlichen 
Hintergrund. Es gibt zum Beispiel wenig Interaktion zwischen der chinesischen und 
der europäischen FOSS-Community. Internationale Zusammenarbeit wird als eine 
Chance für FOSS-Communities verstanden, auch wenn sie nicht vollkommen interna- 
tional integriert ist. Unternehmen, die an der Entwicklung von Standards und an den 
Aktivitäten von FOSS in erheblichem Umfang beteiligt sind, sind in der Regel in meh- 
reren Ländern tätig und profitieren von den durch die Konvergenz der technischen 
Standards bedingten verringerten Markteintrittsbarrieren. 

Auf nationaler Ebene kann es schwierig sein, Einfluss auf die Entwicklung von De- 
facto-Standards zu nehmen, da diese zum Teil auf internationaler Ebene entstehen. 
Beim Setzten von De-facto-Standards kann es sogar zu einem Wettbewerb zwischen 
den Aktivitäten einer Community, diein mehreren Ländern aktiv ist. Dies stellt ein Ri- 
siko dar, ihre Verantwortung gegenüber ihren eigenen Communities wahrzunehmen. 
Das zeigt sich bereits in den Schwierigkeiten bei der Regulierung großer Internetplatt- 
formen mit Sitzin den USA oder China. 
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Auch bei De-jure-Standards stehen ISO und die von der EG und den nationalen 
Normungsgremien anerkannte SSOs vor der Herausforderung ein neues Gleichge- 
wicht der geteilten Verantwortung zu finden, die ihren politischen, wirtschaftlichen 
und gesellschaftlichen Verantwortungen auf jeder Ebene gerecht werden. 


Stärken und Schwächen von FOSS 


Die hier identifizierten Starken von FOSS sind das Rapid Prototyping, ein globales Ent- 
wicklungsmodell, das auf frühen und regelmäßigen Veröffentlichungen basiert (,,Re- 
lease early, Release often“), die freiwillige Teilnahme an Community-Aktivitäten und 
der etablierte Gesamtentwicklungsprozess der breiteren Open-Source-Community in 
einem komplexen Upstream-Downstream-Netzwerk, das durch Community-Dachor- 
ganisationen, insbesondere FOSS-Stiftungen, gefördert wird. Schwachstellen sind ein 
Mangel an etablierten Supply-Chain-Management-Prozessen, Unsicherheit und Will- 
kür bei der Lizenzkompatibilität und Lizenzkonformität sowie eine Meritokratie, die 
sich vor allem auf die Produktbeiträge konzentriert und gleichzeitig andere potenzi- 
elle interessierte Kreise vernachlässigt. 

Unter Rapid Prototyping versteht man die Fähigkeit, schnell Lösungen für anste- 
hende technische Probleme zu skizzieren und diese anhand der Reaktionen anderer 
Teilnehmer zu bewerten. Dies ermöglicht eine wettbewerbsfähige, iterative und evo- 
lutionäre Auswahl von Lösungen in einem frühen Stadium und begrenzt kostspieli- 
ge Vorabinvestitionen. Rapid Prototyping ermöglicht bestehende De-facto-Standards 
in Frage zu stellen und die Hysterese, die durch eine bestehende, veraltete Lösung 
verursacht wird, zu reduzieren. Daher sind die Marktsegmente von FOSS „kipplig“, 
d.h. sie neigen dazu selbst weit verbreitete Lösungen schnell zu ersetzen, wenn eine 
neue, vielversprechendere Lösung überzeugender erscheint. Ein aktuelles Beispiel ist 
der Bedeutungsverlust des OpenStack-Projekts, bei dem im Jahr 2016 eine Vielzahl 
von Akteuren massiv in die Entwicklung effizienter Container-basierter Technologien 
wie Kubernetes10 investiert hat. Die große Überschneidung der Akteure, die früher in 
OpenStack und jetzt in Kubernetes investiert haben, zeigt, dass neuere Lösungen ver- 
altete Produkte verdrängen, nicht aber die Community der Mitwirkenden in diesem 
speziellen Marktsegment. Die Zusammenarbeit ist wichtiger als die spezifische Tech- 
nologie, da die Produkte vergleichsweise kurzlebig sind. Die daraus resultierende eher 
aggressive kreative Zerstörung führt zu kurzen Innovationszyklen und reduziert große 
Vorabinvestitionen in Technologien, die später nicht in den Markt gelangen. 

„Release early, Release often“ beschreibt einen Community-Grundsatz, der die 
Veröffentlichung von Zwischenergebnissen so früh wie möglich vorsieht und Feed- 
back und Beiträge von anderen Interessierten einfordert. „Release early, Release of- 
ten“ ist mit dem öffentlichen Rapid Prototyping verwandt, überlebt aber die ersten 
explorativen Schritte und wird auch angewendet, wenn eine Lösung Anklang gefun- 
den hat und sich eine Community um sie herum zu bilden beginnt. Durch die früh- 
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zeitige Einbindung der Anwender in die kollaborative Entwicklung ist der resultieren- 
de Feedback-Zyklus um eine Größenordnung schneller als die meisten kommerziellen 
proprietären Software-Projekte (Weber 2004). Da alle Beiträge sofort im Produktquell- 
code veröffentlicht werden, werden alle darin eingebetteten Erfindungen zum Stand 
der Technik, und der ursprüngliche Erfinder ist im kollaborativen Entwicklungspro- 
zess schwer zu identifizieren. Zudem verkörpert jeder einzelne Beitrag nur einen klei- 
nen, inkrementellen Erfindungsschritt. FOSS-Communities erfinden gemeinsam, sind 
aber selten in der Lage, Patente auf ihre Erfindungen zu erwerben, selbst wenn sie 
es wollten. Dies trägt dazu bei, dass der Nutzen des Patentsystems als Ganzes in der 
breiteren FOSS-Community nicht wahrgenommen wird. Bei FOSS-Communities ge- 
nießt das Open Invention Network (OIN) (OIN 2018), ein lizenzfreies Netzwerk mit über 
2500 FOSS-Community-Teilnehmern, das die Kerntechnologien von den Produkten 
von Mitglieds-FOSS-Communities in seinem Lizenzvertrag abdeckt, großes Vertrau- 
en. Mitwirkende haben ein gemeinsames Eigentum an den Ergebnissen des Koope- 
rationsprozesses, das sich auf Urheberrechte, Erfindungen, aber auch auf den Begriff 
„unsere Communities“ als Einheiten erstreckt. Aufgrund der beschriebenen Dynamik 
der konstanten Erweiterung des Stands der Technik, sind Patentinhaber, die auf Er- 
findungen aus der breiteren FOSS-Community zurückgreifen und Ansprüche geltend 
machen wollen oder ihre Erfindungen nicht unter lizenzfreien Bedingungen bzw. über 
OIN lizenzieren, nahezu ausschließlich nicht partizipierende oder nicht mitwirkende 
Unternehmen, was ihrem Ruf und den von proprietären computerimplementierten Er- 
findungen gegenüber der FOSS-Community schadet. 

Die freiwillige Teilnahme an den Aktivitäten von FOSS ist von grundlegender Be- 
deutung für das Verständnis der Selbstregulierungsfähigkeiten in den Communities. 
Alle Beteiligten bringen ihre Ressourcen freiwillig in den gesamten FOSS-Prozess ein 
(Lakhani und Wolf 2003). Sobald sie sich in einer bestimmten Community engagie- 
ren, stehen die Teilnehmer vor dem Dilemma, ihre Wahl zur Teilnahme ständig zu 
evaluieren und können jederzeit das Projekt verlassen, wenn das Engagement nicht 
mehr durch Interessen gedeckt ist (Hirschman 1970). Diese Verhaltenskorrektur in Ver- 
bindung mit einer insgesamt starken Fluktuation der Mitwirkenden stellt sicher, dass 
die Governance innerhalb der Communities selbstheilend ist, sich in Richtung Open- 
Source-Kultur annähert und dass Communities je nachdem, wie gut sie ihren Zweck 
erfüllen, entstehen, wachsen, schrumpfen und verschwinden, ohne dass öffentliche 
Investitionen oder Einmischung erforderlich sind. 

Das Upstream/Downstream-Modell der Zusammenarbeit innerhalb der größeren 
FOSS-Community verwendet das mentale Bild eines großen Flusses, der das Wasser 
von vielen kleinen Nebenflüssen (den Communities) sammelt und an den Ozean (die 
Anwender) liefert. Um Produkte von der Komplexität einer ganzen Linux-Distributi- 
on wie Debian oder den Standard-Paketindex einer großen Programmiersprache wie 
Python zu erstellen, bedarfes eines koordinierten Einsatzes von potentiell Tausenden 
von einzelnen Communities. Produktverbesserungen entstehen in den Gemeinden 
und werden dann durch immer komplexere Produkte „down the stream“ aggregiert. 
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Rückmeldungen wie Fehlermeldungen und Verbesserungswünsche, aber auch Modi- 
fikationen (Patches), die für die Integration in die Upstream-Projekte gedacht sind, 
werden näher an den Anwendern generiert und wandern dann „up the stream“, um 
schließlich von der Community, aus der die Lösung stammt, wiederum integriert 
zu werden. Mit dem Ziel einer maximalen Wiederverwendung von Codeänderungen 
entwickelte die breitere Community eine starke Vorliebe für die Arbeit im Upstream- 
Bereich, da sie sich bemüht, Änderungen so nah wie möglich an der ursprüngli- 
chen Lösung zu integrieren. FOSS-Lizenzen werden auf alle Produkte im Upstream- 
und Downstream-Netzwerk angewendet und erleichtern die häufige Integration und 
Weiterverteilung von Gesamtprodukten. Da potentiell tausende von Unternehmen 
involviert sind, sind die wesentlichen Bedingungen aller FOSS-Lizenzen kodifiziert 
und beinhalten immer die „vier Freiheiten der Software“, nämlich sie zu nutzen, zu 
studieren, zu modifizieren und weiterzugeben (Stallman und Lessig 2010). Ebenso 
wendet die breitere FOSS-Community grundlegende normalisierte Prozesse an, wie 
Fehlerberichte und Patches „upstream“ disseminiert werden. Linux-Distributoren 
zum Beispiel beteiligen sich routinemäßig an der Bereitstellung kleinerer Patches 
und der Meldung von Problemen an eine Vielzahl von Upstream-Communities mit 
minimalen Reibungsverlusten. Als De-facto-Standards werden Werkzeuge wie Versi- 
onskontrollsysteme und Issue-Tracker eingesetzt, die einen gemeinsamen Workflow 
abbilden. In jüngster Zeit hat Github das Upstream-Downstream-Modell mit seinem 
(proprietären) Pull-Request-Workflow geprägt, der sehr weit verbreitet ist. Ein derart 
komplexes Netzwerk aus vielen Upstream- und Downstream-Teilnehmern, die ihren 
eigenen Interessen folgen, wäre anfällig für dem Prinzip des Gemeinguts entgegenste- 
hende Ansprüche, bei denen die Verhandlungskosten stark kollaborationshemmend 
wären. (Heller 1998). Daher sind die von den FOSS-Communities angewendeten Li- 
zenzen nicht verhandelbar. Die Upstream-Communities bieten die Nutzung ihres 
Produkts unter einer bestimmten Lizenz an und die Downstream-Anwender akzep- 
tieren dieses Angebot durch die Nutzung der Software oder beschließen, sie nicht zu 
nutzen (Phipps 2011). Ebenso, aber nicht in gleichem Maße, sind Verhaltensnormen 
wie Open Access, Transparenz oder Meritokratie in der breiteren FOSS-Community 
nicht verhandelbar. Das Ergebnis sind vernachlässigbare Transaktionskosten für die 
Teilnahme am Upstream-Downstream-Netzwerk. Standardisierte Governance-Nor- 
men beginnen sich in der IKT-Branche zu entwickeln und werden von Wirtschafts- 
verbänden wie der Linux Foundation unterstützt. Die Rolle dieser FOSS-Stiftungen, 
auch Dachgemeinschaften genannt, besteht darin, gemeinsame Governance-Nor- 
men zu etablieren, die die Zusammenarbeit in der breiteren Open-Source-Community 
erleichtern und fördern. 

Die in den Interviews identifizierten Schwächen von FOSS spiegeln die Bedeu- 
tung der Effizienz der kollaborativen Entwicklungsprozesse wider. FOSS verfügt der- 
zeit nicht über weit verbreitete Supply-Chain-Management-Prozesse. Das Upstream- 
Downstream-Modell ermöglicht eine effiziente Zusammenarbeit in der gesamten 
Community, hilft aber nicht dabei, die Beziehungen zu ihren Softwarelieferanten 
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zu strukturieren. Anders als in anderen Industriezweigen werden tibliche Attribute 
von Leistungen wie die Herkunft von Teilen des Produkts oder die Einhaltung von 
Lizenzen fiir freie Software tiblicherweise nicht vertraglich vereinbart. Ausgehend 
von der Gesamtverantwortung fiir die Lizenzkonformität des Endprodukts bewerten 
die Hersteller in der Regel den kompletten Software Stack ihrer Produkte, auch wenn 
wesentliche Elemente davon von sonst vertrauenswürdigen Lieferanten bereitgestellt 
wurden. Die etablierten Normen der Zusammenarbeit in der breiteren FOSS-Com- 
munity sind noch nicht vollständig in Best Practices oder De-facto-Standards im 
IKT-Sektor umgesetzt worden. Dies führt zu Ineffizienzen, insbesondere zu hohen 
Kosten für die Aufrechterhaltung der Lizenzkonformität und -kompatibilität, und zu 
Hindernissen für die Einführung freier Software in kommerzielle Produkte. 

Das OpenChain-Projekt ist ein aktueller Versuch, die Anforderungen an die Liefer- 
kette zu spezifizieren (OpenChain 2018). Die langfristige Wartung von FOSS-Produk- 
ten, die dem Lebenszyklus langlebiger Industrieprodukte gleichkommt, ist ebenfalls 
schwierig zu etablieren. 

Die Einhaltung der Lizenzbestimmungen ist eine Voraussetzung für den Vertrieb 
von Produkten, die FOSS oder eine Mischung aus FOSS und proprietärem Code ent- 
halten. Durch einstweilige Verfügungen können Mitwirkende, die das Urheberrecht 
am Produkt besitzen, Unternehmen daran hindern, ihre Produkte zu verkaufen, wenn 
der begründete Verdacht besteht, dass ein Produktverkäufer gegen die Verpflichtun- 
gen aus der Weiterverbreitung von FOSS-Code verstößt. Es gibt jedoch eine wahrge- 
nommene Unsicherheit und Willkür, wie freie Softwarelizenzen durchgesetzt werden. 
Die Durchsetzung wird am häufigsten von Community-Repräsentanten wie dem Soft- 
ware Freedom Law Center (SFLC) verfolgt. Es gibt auch Fälle, in denen einzelne In- 
haber von Urheberrechten gegen gewerbliche FOSS-Anwender vorgehen - teilweise 
zu ihrem persönlichen Vorteil. Gelegentlich wurden Unternehmen sogar empfohlen, 
die Familie der GPL-Lizenzen ganz zu vermeiden, was dazu führen würde, dass ein 
Drittel der bestehenden FOSS-Lösungen nicht genutzt wird. Diese Unsicherheit wur- 
de von der FSF in ihren „Grundsätzen der gemeinschaftsorientierten GPL-Durchset- 
zung“ (Gay 2015), mit dem „Linux Kernel Community Enforcement Statement“ (van 
Riel et al. 2017) und anderen adressiert. Die GPL Version 3 gibt Lizenzverletzern mehr 
Zeit, Fehler zu korrigieren, bevor ein Rechtsstreit beginnen kann. Die meisten unter 
der GPL lizenzierten Programme verwenden jedoch immer noch die Version 2. Eini- 
ge einflussreiche Organisationen, die Code unter der GPL Version 2 veröffentlichen, 
haben begonnen sich öffentlich zur Anwendung der GPL-3.0 „Heilungsklausel“ auf 
ihre Produkte zu verpflichten (RedHat 2017). Diese Initiativen zeigen, dass das Ma- 
nagement der Lizenzkonformität noch nicht so normal und standardisiert ist, wie es 
sein könnte. Die Meritokratie ist ein wichtiger Grundsatz der Unternehmensführung 
in den FOSS-Communities. Jeder Teilnehmer, unabhängig davon, ob es sich um ei- 
nen einzelnen Freiwilligen, einen Vertreter einer Organisation oder eine organisato- 
rische Einheit selbst handelt, verdient Ansehen aufgrund seiner konkreten Beiträge 
zum Community-Produkt. Die Beiträge werden jedoch nicht alle gleich bewertet. Ver- 
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besserungen des Kernprodukts der Community werden in der Regel mehr geschätzt 
als Übersetzungen in selten verwendeten Programmiersprachen oder administrative 
Unterstützung, auch wenn sie für die gesellschaftlichen Bestrebungen der FOSS-Com- 
munities ebenso wichtig sind. Ein Linux-Kernel-Entwickler gewinnt im Vergleich zu 
einem Dokumentations-Autor deutlich mehr an Ansehen. Einerseits ist dies ein direk- 
ter Ausdruck der Selbstorganisation in den Gemeinden. Andererseits schmälert diese 
FOSS-Meritokratie die Bedeutung der Stakeholder, die Interesse am Community-Pro- 
dukt zeigen, aber nicht direkt Code-relevant teilnehmen. Dies ist zum Teil beabsich- 
tigt - Communities versuchen regelmäßig, ihre Governance-Normen auf die direkt 
Beteiligten zu konzentrieren, indem sie versuchen, Politik und „bloße Redner“ da- 
von abzuhalten, sich in den Prozess einzumischen. Für Regulatoren, Vertreter zivil- 
gesellschaftlicher Interessen und andere externe Stakeholder kann deshalb der An- 
schein entstehen, dass FOSS-Communities die Verantwortung für die durch die von 
ihnen geschaffenen Produkte verursachten externen Effekte meiden. Selbst Freie-Soft- 
ware-Nutzergruppen berichten über mangelndes Interesse von Communities an ihrem 
Feedback. Durch den Aufbau von Loyalität zu und einem Standing in der Communi- 
ty kann sich eine Insider-Kultur entwickeln, in der die Zugehörigkeit zur Community 
zum Selbstzweck wird. Im Widerspruch zur Idee der offenen Kultur entstehen dadurch 
Eintrittsbarrieren für neue Mitglieder oder bisher nicht präsente Stakeholder. Merito- 
kratie in FOSS-Communities ist demnach ein zweischneidiges Schwert. 

Die in den Interviews identifizierten Schwächen des FOSS-Ökosystems stellen 
Risiken aus der Teilnahme an der Entwicklung und dem Einsatz freier Software in 
proprietären Produkten dar, die aus einem Mangel an Standards für Supply-Chain- 
Management, Compliance und Governance-Normen resultieren. Diese Befragungs- 
ergebnisse zu FOSS-Communities weisen möglicherweise ein Bias mit Blick auf Nor- 
mung- und Standardisierung auf, da die Interview-Kandidaten und Kandidatinnen 
für ihr Wissen in diesem Bereich ausgewählt wurden. Die Ergebnisse entsprechen 
jedoch den aktuellen Trends in der IKT-Branche, insbesondere den Bemühungen 
überschaubare Risiken durch die Festlegung von Lieferketten-, Compliance- und Go- 
vernance-Normen zu minimieren. Während es in den letzten Jahren vor allem durch 
konzertierte Industrieinitiativen zu Verbesserungen gekommen ist, kann das verblei- 
bende Risiko der Nutzung von FOSS derzeit noch nicht abgesichert werden. Dies zeigt, 
dass die identifizierten Schwachstellen relevant und wichtig für den weiteren Erfolg 
der breiteren Open-Source-Community sind. 


Stärken und Schwächen von SSOs 


Die Stärken von SSOs, die in den Interviews als besonders relevant für diese Studie 
hervorgehoben wurden, sind bewährte formelle Standardisierungsprozesse, definier- 
te Regeln für IPR, Reichweite und Marke, relativ geringes Investitionsrisiko und Effek- 
tivität der SSO-Dienstleistungsangebote. Schwächen sind die vorhandenen Human- 
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ressourcen, die Abhängigkeit von einflussreichen Stakeholdern, historische Struktu- 
ren und Verantwortlichkeiten, die unklare Definition von IPR-Regeln, die Grenzen des 
formalen Standardsetzungsprozesses und die vertriebsorientierten Geschäftsmodelle 
von SSOs. 

Durch eine lange Geschichte der Entwicklung formeller Standards haben sich 
SSOs zu vernetzten Plattformen mit bewährten Instrumenten und Prozessen zur for- 
malen Standardisierung entwickelt. Der formale Standardisierungsprozess ermög- 
licht es jeder juristischen Person, sich an der konsensbasierten Entwicklung, Doku- 
mentation und Genehmigung des offiziellen Standes der Technik zu beteiligen und 
gleichzeitig sicherzustellen, dass alle relevanten Interessengruppen und die Öffent- 
lichkeit informiert, konsultiert und zur Teilnahme eingeladen werden. Die meisten 
SSOs sind verpflichtet, bei der formellen Standardisierung soziale, ökologische und 
öffentliche Interessen zu berücksichtigen, daher sind SSOs ein hervorragendes In- 
strument für den Transfer und die Verbreitung technischer Lösungen in den Markt, 
für nationale und internationale wirtschaftspolitische Maßnahmen, zur Marktregu- 
lierung, zur Schaffung von Rechtssicherheit und zur Umsetzung von Sicherheits- und 
Schutzmaßnahmen. 

Zwei Stärken von SSOs, die auf ihrer Marke und Reputation beruhen, sind ihre 
Reichweite und ihre großen nationalen und internationalen Netzwerke in Industrie, 
Politik und Forschungskreisen einschließlich der entsprechenden Lobbyarbeit. Die 
große Reichweite ist eine der Motivationen für Technologiegeber, ihre technische Lö- 
sungin den formellen Standardisierungsprozess einzubringen. Durch die erfolgreiche 
Einbindung ihrer technischen Lösung in einen formellen Standard findet die damit 
als offizieller Stand der Technik anerkannte technische Lösung leichter Zustimmung 
bei nationalen und internationalen Normenanwendern und Geschäftspartnern, was 
die Marktdiffusion der technischen Lösung deutlich steigern kann. Formelle nationa- 
le SSOs sind von den Regierungen akkreditiert, um die Interessen der Wirtschaft und 
der Unternehmen auf der internationalen Bühne zu vertreten. Nationale Technologie- 
geber, die sich an der nationalen Normung und Standardisierung beteiligen, haben 
somit die Möglichkeit, ihr Land in einer entsprechenden internationalen Normung zu 
vertreten und so die Reichweite ihrer Technologie auf globaler Ebene zu erhöhen. For- 
melle Standards sind ein Instrument der Wirtschafts- und Handelspolitik, was eben- 
falls die Reichweite und Relevanz der erfolgreich eingebrachten Technologien natio- 
nal und international erhöht. 

Um innovative Technologiegeber anzuziehen, haben SSOs Richtlinien und Regeln 
für den Umgang mit geistigen Eigentumsrechten (IPR) und Patenten im Rahmen des 
formellen Normungs- und Standardisierungsprozesses und der daraus resultierenden 
Standards definiert. Die Lizenzpolitik in Bezug auf SEP soll potenziellen Technolo- 
giegebern eine Amortisation der Investition in Bezug auf ihre Entwicklungskosten in 
Aussicht stellen und den Normenanwendern mehr Rechtssicherheit geben. Die IPR- 
Richtlinien gewährleisten die Lizenzierung von SEP zu FRAND-Bedingungen und sind 
gleichzeitig so flexibel, dass Technologiegeber und Normenanwender eine marktspe- 
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zifische Vereinbarung über die Lizenzbedingungen treffen können. Die Aufnahmevon 
Patenten in formelle Standards trägt dazu bei, dass innovative Technologien eine ho- 
he Marktdiffusion erlangen und zum offiziell anerkannten Stand der Technik werden, 
was die formelle Standardisierung für Forschungseinrichtungen und innovative Un- 
ternehmen attraktiv macht. 

Das Arbeitsprogramm einer SSO folgt in der Regel langfristigen Roadmaps, Missi- 
onsstatements und langfristigen Strategien der jeweiligen SSO. Darüber hinaus kann 
der gründliche formelle Prozess der Normung und Standardisierung je nach gewähl- 
tem Standardisierungsprozess zwischen 1,5 und 5 Jahren dauern. Die veröffentlich- 
ten Standards werden alle drei bis fünf Jahre systematisch überarbeitet, was es den 
Stakeholdern und der Öffentlichkeit ermöglicht, eine Norm zu aktualisieren, zu bestä- 
tigen oder zurückzuziehen. Die jeweiligen technischen Gremien-Mitglieder haben da- 
bei einen erheblichen Einfluss auf diese Entscheidung. Das macht die formelle Stan- 
dardisierung relativ vorhersehbar, was das Investitionsrisiko sowohl für aktive Nor- 
mungspartizipierende als auch für Normenanwender reduziert. Dies ist von großem 
Nutzen im Bereich von Technologien mit hohen Änderungs- und Anpassungskosten 
(z. B. hardwaregetriebene Industrien). 

Formelle Standardisierung kann als Sekundärmarkt gesehen werden, in dem 
geistigen Eigentum und Informationen strategisch geteilt, paketiert, neu verteilt und 
in den Markt transferiert werden. SSOs bieten strategische und wirkungsvolle Diffu- 
sions-, Netzwerk- und Informationswerkzeuge und -dienstleistungen an. Technische 
Ausschussmitglieder haben einen „Clubvorteil“, da sie frühzeitig und detailliert über 
technologische Entwicklungen und Normungsaktivitäten Bescheid wissen und die 
Möglichkeit haben, direkt auf die daraus resultierende Norm Einfluss zu nehmen, 
was zu einem signifikanten Wettbewerbsvorteil führen kann. 

Die in den Interviews identifizierten Schwächen von SSOs spiegeln die Heraus- 
forderung der formalen SSOs mit den ständig schnellerwerdenden Innovationszyklen 
wider. Dies gilt insbesondere für Technologiefelder, die mit geringen Änderungs- und 
Anpassungskosten für Unternehmen verbunden sind (z. B. softwarebezogene Produk- 
te) und die durch schnelle Technologiewechsel und volatile Trendentwicklungen cha- 
rakterisiert werden. Die starren und sorgfältigen Prozesse von SSOs sind oft zu lang- 
sam und zu unflexibel, um schnelllebige Marktbedürfnisse rechtzeitig zu erfüllen. Da 
SSOs verpflichtet sind, bei der Standardisierung das gesellschaftliche und 6ffentli- 
che Interesse zu berücksichtigen, kann dies den Standardisierungsprozess verlang- 
samen, aber auch die Attraktivität der formalen Standardisierung für Unternehmen 
verringern, die mehr an ihren Geschäftszielen als an gesellschaftlichen und öffentli- 
chen Bedürfnissen interessiert sind. Die Industrie sieht somit möglicherweise einen 
Vorteil darin, De-facto-Standards zu setzen, um so die Grenzen und Einschränkungen 
des gesellschaftlichen und öffentlichen Interesses zu umgehen. Dies stellt für SSOs 
eine Herausforderung dar, formelle Normen und Standards mit hohem Innovations- 
grad, hoher Marktrelevanz und schnellen Geschwindigkeit auch noch rechtzeitig zu 
veröffentlichen. 
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Mitarbeiter von SSOs weisen oft einen „Standardisierungshabitus“ auf, der mit ei- 
ner Affinität zu formellen Prozessen und wenig Leidenschaft und Vision fiir innovative 
Ansätze, neue Ideen und neue Themen einhergeht. SSOs haben oft nicht genug oder 
nicht die richtigen Mitarbeiter, um neue Trends und Technologien erfolgreich aufzu- 
nehmen und weiter zu entwickeln. Zudem werden Kompetenzen und Qualifikationen 
der Mitarbeiter von SSOs nicht mit der Geschwindigkeit der zunehmend schneller wer- 
denden Innovationszyklen weiterentwickelt. 

Ein weiteres Hindernis, mit dem sich SSOs auseinandersetzen müssen, ist der Ein- 
fluss und die Abhängigkeit von mächtigen Stakeholdern. SSOs schulden einflussrei- 
chen Stakeholdern und Mitgliedern oft Rechtfertigungen für ihre Aktivitäten, wasihre 
Fähigkeit, auf Marktsignale zu reagieren, einschränkt, wenn diese nicht im Interesse 
ihrer Stakeholder sind. Die Mitglieder der Fachausschüsse sind oft eher politik- und 
interessenorientiert statt inhaltsorientiert. Dies bedeutet, dass nicht immer die bes- 
te technische Lösung in einem Standard veröffentlicht wird, da das Aufeinandertref- 
fen von konkurrierenden marktstrategischen und z. B. auf ISO-Ebene auch politischen 
Interessen innerhalb eines Standardisierungsprozesses einen daraus resultierenden 
konsensbasierten Standard auf den kleinsten gemeinsamen Nenner „verwässert“, der 
damit eher unspezifisch und ineffizient ist. SSOs haben zudem Schwierigkeiten, auf 
schnelllebige Markttrends zu reagieren und neue Technologien zu absorbieren, wenn 
die Ausschussmitglieder oder andere mächtige Interessengruppen sich weigern, Vor- 
schläge für einen neuen Standard mit einer radikal neuen Technologie oder der Mit- 
gliedschaft eines neuen innovativen Marktteilnehmers zu unterstützen, da der Schutz 
des Status quo für sie oft von größerem Interesse ist. 

Klar definierte thematische Verantwortlichkeiten, die auf historischen Struktu- 
ren und Kompetenzen der SSOs beruhen, verschwimmen im Kontext der Technologie- 
konvergenz, was es für SSOs und Fachausschüsse zu einer großen Herausforderung 
macht, sich klar von anderen SSOs und Fachausschüssen abzugrenzen. Aus Angst, 
den nächsten neuen Erfolgsstandard zu verpassen, ist oft ein „Wettlauf zum Mond“ 
die Folge, denn technische Normungsgremien und SSOs möchten als erstes als rele- 
vante und kompetente Partner mit Blick auf neue technologische Entwicklungen auf- 
treten. Dies kann als „Kampf um Relevanz“ innerhalb und zwischen SSOs verstanden 
werden. Das Ergebnis sind sich überlappende und zum Teil ineffiziente formelle Stan- 
dards mit unklarer Marktrelevanz. Marktrelevanz ist für SSOs von hoher Bedeutung, 
da viele privat organisierte SSOs Geschäftsmodellen folgen, die auf dem Verkauf von 
Normen und Standards, Sekundärliteratur und Anwenderschulungen basieren. Da- 
her gefährden inhaltlich konkurrierende und kostenlose Standards die aktuellen Ge- 
schäftsmodelle dieser SSOs. 

Eine Schwäche von SSOs sind ihre IPR-Regeln, die auf fairen, vernünftigen und 
nicht diskriminierenden (FRAND) Lizenzen basieren, die allerdings in der Realität ein 
hohes Maß an Interpretation zulassen. Dies führt häufig zu Rechtsstreitigkeiten zwi- 
schen SEP-Eigentümern und Standardimplementierern. Dadurch werden einerseits 
mögliche Standardimplementierer abgeschreckt, da sie befürchten, in Gerichtsverfah- 
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unklare Definition von IPR-Regeln 
Grenzen des formellen Standardsetzungsprozesses 
* vertriebsorientierten Geschäftsmodelle 


* starre Strukturen und Verantwortlichkeiten 


Paradigmenwechsel und Trends: 
+ Entwick ssserer digitaler Methoden der Zusammenarbeit 


Abb. 8.5: SWOT-Analyse zu FOSS und SSOs (Quelle: Eigene Darstellung). 


ren zu landen. Andererseits könnten Technologiegeber, die im Standardisierungspro- 
zess ihre Technologie nicht einbringen und daher ihr Patent nicht erfolgreich in einen 
formellen Standard einbinden konnten, zu anderen Standardsetzern wechseln und 
ihre technischen Lösungen dort kostenlos anbieten, was die Marktposition der veröf- 
fentlichten formellen Normen und Standards mit ihren SEPs in Frage stellt und mögli- 
che Standardimplementierer weiter verunsichert und abschreckt. Theoretisch können 
SEPs auch für offen und frei deklariert werden, aber in der Realität werden die IPR- 
Regeln von SSOs oft als unvereinbar mit offenen und freien IPR-Regeln oder als „zu 
gefährlich“ von Vertretern offener Organisationen (z. B. Open-Source-Organisationen) 
empfunden. Abbildung 8.5 zeigt zusammenfassend die Ergebnisse der Stärke-Schwä- 
chen-Analyse von FOSS und SSO. 
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Nach dem Identifizieren von gemeinsamen externen Einfliissen im IKT-Sektor, die so- 
wohl SSO- als auch FOSS-Communities betreffen und jeweils Chancen und Risiken 
darstellen, und der getrennten Aufgliederung ihrer Stärken und Schwächen, ist es of- 
fensichtlich, dass SSO- und FOSS-Communities sich gegenseitig ergänzen und gleich- 
zeitig bei jeweils verschiedenen Aspekten um Relevanz konkurrieren. 

SSOs verfiigen iiber Bekanntheit, Erfahrung, Renommee, anerkannte und be- 
währte Prozesse und eine langfristige Roadmap, die den Teilnehmern aus Industrie 
und Politik Stabilität und Einfluss versprechen. Durch die Definition und Dokumenta- 
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tion des Standes der Technik und sowie den Transfer von technischen Innovationen 
in den Markt fördern sie das Zusammenwirken verschiedenster Akteure und fungie- 
ren als Intermediär zwischen Innovatoren, Industrie, Forschung und Regulierern. 
Die breitere FOSS-Community entwickelt technische Innovationen in einem hohen 
Tempo, steuert Investitionen effektiv durch die Eliminierung von Fehlern in einem 
frühen Stadium des Prozesses und realisiert eine evolutionäre Produktentwicklung 
mit frühen und regelmäßigen Releases. Inhaltliche Beiträge werden selbstheilend 
und effizient durch freiwillige Teilnahme eingebracht. Stiftungen fungieren als Dach- 
organisationen, die das Upstream-Downstream-Modell fördern. Dies eröffnet SSOs 
die Möglichkeit, Standards auf der Basis von Code-First-FOSS-Lösungen zu erstel- 
len, ähnlich wie das OpenDocument-Format, das im Nachgang standardisiert wurde 
(OASIS 2015). Die Kombination einer FOSS-Implementierung mit späterer formeller 
Standardisierung wurde in den Interviews wiederholt erwähnt und würde die frü- 
he konkurrierende Auswahl von FOSS-Lösungen auf die Auswahl von technischen 
Lösungen für die Normung und Standardisierung anwenden. Auch wenn die Kombi- 
nation noch kein gemeinsamer Ansatz ist, könnte er die wettbewerbsfähige Auswahl 
technischer Lösungen für die formale Standardisierung verbessern. Da das permanen- 
te nicht differenzierende Kooperationsmodell die Notwendigkeit von Spezifikationen 
aus reinen Interoperabilitätsgründen eliminiert, muss die formale Standardisierung 
aus anderen Gründen sinnvoll sein, zum Beispiel für das Qualitätsmanagement oder 
die Einhaltung von Sicherheitsstandards oder Exportvorschriften. 

Die bedeutendste Determinante, die in dieser Studie identifiziert wurde, sind die 
sogenannten Änderungs- und Anpassungskosten. FOSS-Communities gedeihen in ei- 
ner Umgebung, in der Änderungen und Korrekturen an Produkten und Spezifikatio- 
nen fast sofort vorgenommen werden können. Die Kernel-Entwicklungsgemeinschaft 
integriert Änderungen in Linux mit einer durchschnittlichen Rate von 8,5 Patches pro 
Stunde (Corbet und Kroah-Hartman 2018). Die Kosten für jede einzelne Änderung in 
dieser Umgebung sind nahezu vernachlässigbar. Fehler können einfach und schnell 
behoben werden, was die Nützlichkeit von Spezifikationen verringert, die in diesem 
Tempo nur schwer auf dem neuesten Stand zu halten wären. Andererseits erfordern 
Änderungen an den für die drahtlose Netzwerkkommunikation verwendeten Proto- 
kollen möglicherweise Hardware-Updates und wären kostspielig und zeitaufwändig. 
Diese Extreme erstrecken sich über ein Kontinuum, in dem die Änderungs- und An- 
passungskosten sinken und das Innovationstempo steigt. Irgendwo auf diesem Kon- 
tinuum ist ein Punkt, an dem die Änderungs- und Anpassungskosten für SSO- und 
FOSS-Communities gleich sind und das Feld in zwei Abschnitte unterteilt wird, in de- 
nen SSOs bzw. FOSS effizienter sind. Abbildung 8.6 illustriert den Zusammenhang 
zwischen den Änderungs- und Anpassungskosten sowie der Innovationsgeschwin- 
digkeit. Das Innovationstempo ist in der Regel umgekehrt proportional zu den Ände- 
rungs- und Anpassungskosten, da Software einfacher zu implementieren ist als neue 
Hardware. Die Kommodifizierung beeinflusst die Änderungs- und Anpassungskosten 
und macht die Spezifikation weniger relevant für Produkte, deren Aktualisierung we- 
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Innovationsgeschwindigkeit 


Änderungs- und Anpassungskosten 


Abb. 8.6: Änderungs- und Anpassungskosten und Innovationsgeschwindigkeit (Quelle: Eigene 
Darstellung). 


niger kostspielig wird. Basierend auf diesem Verständnis ist es offensichtlich, dass 
sich SSOs und FOSS-Communities als Prozesse für das Management von technischen 
Innovationen ergänzen, die mehr oder weniger effizient sind, basierend auf den in- 
trinsischen Eigenschaften des spezifischen Innovationsfeldes. 

Im Vergleich zu den Stärken der FOSS-Community sind die Schwächen von SSOs 
vor allem in Umgebungen mit geringen Änderungs- und Anpassungskosten zu sehen. 
Wo FOSS-Communities mit zahlreichen Versuchen frühzeitig scheitern und die bes- 
te Lösung für ein technisches Problem finden, scheitern SSOs oft an der Trägheit ih- 
rer Stakeholder. Im Extremfall produzieren SSOs Standards, die selten oder nie ange- 
wendet werden. In einem durchaus radikalen Prozess der kreativen Zerstörung trei- 
ben die FOSS-Communities die Innovation in der Datenverarbeitung voran, indem sie 
bei der evolutionären Auswahl konkurrierender Lösungen effizienter sind. Die brei- 
tere FOSS-Community ist sich bewusst, dass der Release-early-release-often-Ansatz 
von Software schneller und qualitativ hochwertiger ist als die langsame und gründli- 
che Ausschussarbeit, die SSOs auch in Fällen anwendet, in denen es möglicherweise 
nicht notwendig ist. Die freiwillige Teilnahme stellt sicher, dass die Mitwirkenden in 
erster Linie von der Software begeistert sind, die sie gemeinsam entwickeln, und sich 
weniger darum kümmern, lebenslange Mitarbeiter mit dem Prestige einer nationalen 
Institution zu sein. Die Gemeinden ziehen daher eher qualifizierte Erfinder als kom- 
petente Administratoren an. 
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Einzelne Freiwillige, die in FOSS-Projekten inhaltlich beitragen, identifizieren 
sich in der Regel selbst mit ihren Aufgaben und arbeiten ohne finanziellen Ausgleich. 
Die Communities, an denen sie teilnehmen, können sie ermutigen aber sie nicht 
anweisen, sich an formellen Normungs- und Standardisierungsaktivitäten zu betei- 
ligen. Industriegeförderte Communities sind zwar ausreichend finanziert aber noch 
nicht motiviert, in die Teilnahme an Normungs- und Standardisierungsaktivitäten zu 
investieren, die ihrer Ansicht nach vor allem anderen zugutekommen. Es ist unwahr- 
scheinlich, dass FOSS-Beitragende, die sich an SSO-Aktivitäten beteiligen, davon in 
ihren Communities im Sinne von höherem Ansehen profitieren werden. Regeln für 
die Teilnahme an formellen Standardisierungsprozessen, die es zum Beispiel erfor- 
derlich machen, dass Teilnehmer Repräsentanten einer juristischen Person sind, die 
auch ihre Aktivitäten, Mitgliedsbeiträge und Reisezeiten finanziert, stellen eine Ein- 
trittsbarriere dar, die für die Teilnahme von FOSS-Mitarbeitern wahrscheinlich kaum 
überwindbar ist. Um diese Partizipationshürden für FOSS-Community-Mitglieder zur 
Teilnahme abzubauen, benötigen SSOs neue Beteiligungsregeln und Governance- 
Normen, die die freiwillige Teilnahme von Privatpersonen ermöglichen. 

Einige SSOs werden zum Teil durch den Verkauf von Normen und Standards fi- 
nanziert. Der Trend zu Offenheit und Transparenz weckt Erwartungen an offene und 
kostenlose Standards, zumindest dann, wenn sie von den Regulierungsbehörden vor- 
geschrieben sind oder auf andere Weise Voraussetzungen für den Eintritt in Märkte 
mit öffentlichen Investitionen jeglicher Art sind. FOSS-Entwickler werden nur dann 
bei der Festlegung von formellen Normen und Standards zusammenarbeiten, wenn 
die daraus resultierenden Standards frei verfügbar sind. Absatzorientierte SSOs kön- 
nen den Anteil ihres Budgets, der durch den Verkauf von formellen Normen und Stan- 
dards erzielt wird, auf andere Finanzierungsquellen übertragen, wie z. B. höhere Ein- 
nahmen aus Mitgliedsbeiträgen, professionelle Dienstleistungen für ihre Mitglieder 
und öffentliche Mittel. Durch die Bereitstellung von Dienstleistungen zur Förderung 
von FOSS-Community-Aktivitäten haben SSOs die Möglichkeit, ihren Mitgliedern ein 
breiteres Spektrum an Standardisierungsdienstleistungen aus einer Hand anzubieten, 
was die Mitgliederzahl erhöhen und neue Einnahmequellen erschließen kann. 

FOSS-Communities sind generell offen für die Teilnahme von Beitragenden aus 
der ganzen Welt. Hier ist es schwierig festzumachen, in welchem Land eine Com- 
munity ansässig ist, so dass es im FOSS-Umfeld auch keine Rolle spielt. Die globale 
Aufstellung entspricht dem Trend zur supra- und internationalen Regulierung, wo- 
bei SSOs möglicherweise aus der Sicht der FOSS-Community als engstirnig angesehen 
werden können, insbesondere wenn sie konkurrierende Standards in nationalen Nor- 
mungsgremien entwickeln. Die dezentrale Organisation der breiteren Open-Source- 
Community verursacht vernachlässigbare Transaktionskosten einer globalen Beteili- 
gung. Dies entspricht der Denkweise von Erfindern, die eher an der Entwicklung von 
Produkten als an der Erstellung von Spezifikationen arbeiten. 

Die Stärken von SSOs im Vergleich zu den Schwächen von FOSS konzentrieren 
sich auf Prozesse und eine enge Definition von Meritokratie. Wo FOSS-Communities 
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mit der Etablierung nützlicher Standards für das Supply-Chain-Management zu kämp- 
fen haben, bietet SSOs nicht nur stabile Prozesse und Dokumentation, die die Supply 
Chain für die Industrie prägen, sondern sie setzen entsprechende anerkannte formelle 
Standards. Im Gegensatz zu FOSS sind SSOs im IKT-Sektor nicht nur präsent, sondern 
vereinheitlichen auch globale Lieferketten. 

Wo FOSS-Communities mit der Komplexität der Aufrechterhaltung der Kompati- 
bilität und Konformität mit freien Softwarelizenzen in komplexen Software-Stacks zu 
kämpfen haben, legen SSOs branchenübergreifende IPR-Richtlinien fest. Auch wenn 
es Meinungsverschiedenheiten darüber gibt, was die besten Lizenzierungsmodelle für 
geistiges Eigentum sind, genießen SSOs eine höhere Akzeptanz als Schiedsrichter für 
geistiges Eigentum (IP) bei einer breiteren Gruppe von Interessengruppen, einschließ- 
lich der Regulierungsbehörden. 

FOSS-Communities sind attraktiv für Codebeitragende. Oft fehlt es ihnen an Mit- 
teln und Personal für andere Aufgaben wie Community Management, Marketing oder 
politische Lobbyarbeit, so dass es gerade für kleinere Initiativen außerhalb einfluss- 
reicher Gruppen schwierig wird, lebensfähig zu werden bzw. zu bleiben. Insbesondere 
wenn solche Projekte von einigen ihrer Mitgliedsunternehmen initiiert wurden, könn- 
ten SSOs sie administrativ beherbergen und fördern und ähnliche Dienstleistungen 
für FOSS-Dachverbände anbieten. 

Wo FOSS-Mitarbeiter auf der Grundlage einer engen Definition des produktbe- 
zogenen Beitrags Ansehen erlangen, bieten SSOs gut akzeptierte Multi-Stakeholder- 
Plattformen und beziehen die Zivilgesellschaft, Umweltgruppen und andere interes- 
sierte Parteien routinemäßig mit ein. Die allgemeine Akzeptanz des ausgewogenen 
SSO-Prozesses stärkt die Marke als öffentliche Interessen wahrender Dienstleister für 
technische Innovationen, was wiederum öffentliche finanzielle Mittel und politische 
Unterstützung sichert. 

SSOs sind etablierte Instrumente zur Unterstützung von Industrieinvestitionen 
und öffentlichen Regulierungen. Einige FOSS-Communities sind noch nicht bereit, 
ähnliche Aufgaben zu übernehmen. Branchengetriebene Dachorganisationen wie die 
Linux Foundation ermutigen jedoch die Community, Verhaltensnormen einzuführen, 
die es ihnen ermöglichen, sich mit einem breiteren Spektrum von Stakeholdern aus- 
zutauschen. 

Die Verbindung der Schwächen von SSOs mit den Schwächen von FOSS liefert 
ebenfalls interessante Ansätze. FOSS-Communities belohnen Produktbeiträge durch 
eine schnelllebige Meritokratie, während SSOs einen klar definierten, langsamen und 
gründlichen Prozess für ihre Ausschussarbeit anwenden. Innovationen, die in kei- 
ne der beiden Ansätze passen, aber dennoch von der Standardisierung profitieren, 
stellen eine Herausforderung für beide Lager dar. Besonders groß angelegte bahnbre- 
chende Forschungsarbeiten, die erhebliche Vorabinvestitionen erfordern (wie die Ent- 
wicklung von Pharmazeutika oder mobilen Kommunikationsprotokollen und Hard- 
ware), passen weder zu FOSS noch zu SSOs und werden in der Regel von Industrie- 
konsortien oder konkurrierenden Großunternehmen durchgeführt. Weder SSOs noch 
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FOSS sind für die daraus resultierenden Dickichte an SEPs gut gerüstet, insbesondere 
gegen den allgemeinen Trend zu mehr Offenheit und Transparenz. In Industriezwei- 
gen mit starken Innovationsanreizen durch SEPs wird FOSS eher selten eingefiihrt. 
Standardisierung erfolgt hier in eher branchenspezifischen SSOs, wie ETSI. Die Globa- 
lisierung stellt die Rolle der nationalen SSOs und die etablierte historisch gewachsene 
Hierarchie von SSOs in Frage. Außerhalb von FOSS-Communities werden Standards 
noch immer auf der nationalen Ebene entwickelt und von den Regulierungsbehörden 
eher als Instrumente der nationalen Wirtschaftspolitik betrachtet, auch wenn im IKT- 
Sektor der makroökonomische Nutzen durch eine möglichst breite Anwendung eines 
Standards maximiert würde. Um zu vermeiden, dass sich die Geschichte der verschie- 
denen Spurweiten und Steckdosenausführungen wiederholt, sollten Normen in glo- 
baler Zusammenarbeit entwickelt werden. 

Die IPR-Lizenzpolitik von SSOs entwickelte sich vor dem Hintergrund der Indus- 
triegesellschaft. FOSS-Communities arbeiten immer noch daran, die Kompatibilität 
und Compliance in komplexen Software-Stacks aufrechtzuerhalten. So gibt es z.B. 
keine gemeinsame Plattform für SSOs und FOSS-Communities, um die Anforderungen 
an offene Standards, die genaue Bedeutung von FRAND oder die kostenfreie Nutzung 
von mandatierten Normen sowie Standardisierung im weiteren Sinne zu entwickeln. 

Der „Open-Source-Weg“ ermöglicht die Entwicklung neuer Modelle der perma- 
nenten nicht differenzierenden Zusammenarbeit Die Koexistenz von SSOs und FOSS- 
Communities bietet den Teilnehmern der technischen Standardisierung die Wahl, 
welches Instrument am besten zu ihrem jeweiligen Umfeld passt. 

Die Mehrheit der heutigen FOSS Gemeinden versteht es alsihre Aufgabe, Software 
zu entwickeln und Industriestandards zu etablieren. Sie wenden das FOSS-Modell 
an, weil sie glauben, dass es der bessere Weg ist dieses Ziel zu erreichen. Dieser An- 
satz sollte nicht als Gleichgültigkeit gegenüber den ethischen Grundlagen der Soft- 
warefreiheit missverstanden werden. Die meisten Mitwirkenden sehen sich selbst als 
ethisch vorbildlich, da sie durch die Schaffung von FOSS dem Gemeinwohl dienen. 
Die Erkenntnis, dass ein Beitrag zu freier Software bedeutet, Spaß zu haben und pro- 
duktiv zu sein und gleichzeitig das Richtige zu tun, ist der Schlüssel zum Verständnis 
vom Erfolg von FOSS. Die Teilnehmer erwarten ein gleichberechtigtes Verhalten und 
gemeinsames Eigentum an den Ergebnissen der Zusammenarbeit sowie Transparenz 
und Offenheit im Prozess. Modelle der Zusammenarbeit zwischen SSOs und FOSS soll- 
ten diese Realität widerspiegeln. 


8.6 Empfehlungen 


In den obigen Kapiteln wurden Prozesse und Aktivitäten mit standardisierender Wir- 
kung von SSOs und FOSS-Communities miteinander verglichen. Aus den Ergebnissen 
werden Empfehlungen für die FOSS-Communities, SSOs, Regulierungsbehörden und 
Unternehmen abgeleitet. Die Empfehlungen unterteilen sich in produkt-, prozess- und 
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Standardals 


Spezifikation Komplementäre ernst 
(Norm) P ne 
Produktsicht 
Alternativen 
SSO FOSS 


Prozesssicht 


Nutzenabwagung 


Motivation: Standard-Pull/-Push, 
Technologiefeld: Höhe der Anderungs- und Anpassungskosten 
Gesellschaftliche Sicht Strategischer Rahmen: Zielmärkte, Allianzen, Lizenzen, Geschäftsmodelle, etc. 


Abb. 8.7: SSOs und FOSS aus Produktsicht, Prozesssicht und gesellschaftlicher Sicht (Quelle: 
Eigene Darstellung). 


gesellschaftsbezogenen Empfehlungen. Abbildung 8.7 illustriert diese verschiedenen 
Sichtweisen. 

Aus Produktsicht ist festzustellen, dass formelle Standards in sich Produkte mit 
standardisierender Wirkung sind, die festlegen, wie technische Lösungen imple- 
mentiert werden. Die FOSS-Communities entwickeln Produkte, die durch ihre breite 
Anwendung eine standardisierende Wirkung entfalten. SSOs sind erfolgreich in der 
Entwicklung formeller Normen und Standards, während FOSS-Communities einen 
Vorteil bei der Entwicklung nicht differenzierender Implementierungen haben. Wenn 
sowohl Spezifikationen als auch Implementierungen gefragt sind, können sich SSOs 
und FOSS-Communities erfolgreich ergänzen. 

SSOs folgen dabei einen Top-Down-Prozess, während FOSS-Communities einen 
dezentralen Code-first-Prozess implementieren. Für jeden Produktentwicklungspro- 
zess müssen die Teilnehmer den einen oder anderen Ansatz wählen. Je nachdem, 
welcher Prozessansatz für das gewünschte Ergebnis besser geeignet ist, entscheiden 
sich die Akteure für die Teilnahme an SSOs oder FOSS-Communities. Für Bestrebun- 
gen, die die Entwicklung mehrerer Produkte beinhalten, wie z. B. eine formelle Norm 
und eine Referenzimplementierung, können verschiedene Ansätze kombiniert wer- 
den. Was den Prozess betrifft, so sind SSOs und FOSS-Communities Wettbewerber. 

Aus gesellschaftlicher Sicht haben SSOs eine Rolle bei der Umsetzung von (Si- 
cherheits-)Regulierungen, fördern Innovation und Wettbewerbsfähigkeit und sind In- 
strumente zur Ausgestaltung der Industriepolitik. FOSS-Communities arbeiten auf der 
Grundlage einer freiwilligen Beteiligung und einer Autorität, die allein in den Com- 
munities liegt. Die Regulierungsbehörden haben die Wahl, sowohl SSOs als auch die 
gesamte FOSS-Community zu beeinflussen, zu unterstützen oder zu beraten, um Inno- 
vation und Wettbewerbsfähigkeit zu fördern und politische Ziele durchzusetzen. Aus 
gesellschaftlicher Sicht sind SSOs und FOSS-Communities unabhängige und komple- 
mentäre Standardisierungsinstrumente für politische Entscheidungsträger. 
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Empfehlungen fiir FOSS-Communities 


Die breitere FOSS-Community wird von der Anwendung einer allgemeingiiltigen De- 
finition dessen, was einen „Beitrag“ ausmacht und von der Gleichbehandlung aller 
Beitragenden profitieren, unabhängig davon, ob es sich um einzelne Freiwillige, Un- 
ternehmen, Forschungseinrichtungen oder Regierungsbehörden handelt. In FOSS- 
Communities teilweise vorherrschende historische Vorurteile, dass freie Software das 
Vorrecht der Zivilgesellschaft ist, dürfen ausgeräumt werden. Die globale Zusammen- 
arbeit der FOSS-Communities bietet eine einzigartige Möglichkeit, Brücken zwischen 
den Interessen des Einzelnen, der Zivilgesellschaft, der Unternehmen und des Staates 
zu bauen. Die Voraussetzung dafür ist, dass ein Betrag zur Entwicklung freier Software 
geleistet wird. Die breitere Community kann auf die Realisierung dieses Potenzials 
hinarbeiten, indem sie die Qualität des Kooperationsprozesses für alle Beitragenden, 
durch Community-Management und die Festlegung von Governance-Normen aktiv 
beeinflusst. Gleichzeitig sollte sie die Prinzipien freier Software wie Meritokratie, 
Transparenz, Nichtdiskriminierung, gemeinsames Eigentum und offene Zusammen- 
arbeit aufrechterhalten und verstärken. Durch die Identifizierung und Lobbyarbeit für 
Softwarefreiheit als übergeordnetes Ziel kann die FOSS-Community die Grundlagen 
für eine erfolgreiche Integration mit Regulierungsbehörden und gesellschaftlichen 
Institutionen wie SSOs schaffen. Nur De-facto-Standards, die auch formell in Normen 
und Standards dokumentiert werden, werden in der Gesetzgebung erwähnt, so dass 
die Communities die Wahl haben, ihre Spezifikationen selbst zu erstellen oder mit 
SSOs zusammenzuarbeiten und von deren Reichweite, Reputation und Netzwerk zu 
diesem Zweck zu profitieren. Die Communities müssen sich darauf einstellen in Zu- 
kunft an höhere Erwartungen in Bezug auf die soziale Verantwortung gebunden zu 
sein und sollten dies als Zeichen ihres Beitrags zum Gemeinwohl betrachten. 


Empfehlungen an SSOs 


SSOs sollten in die Vertiefung der Kenntnisse über die Mechanismen und Prinzi- 
pien der FOSS-Kollaborationen investieren, um die Stärken aber auch Grenzen des 
Open-Source-Ansatzes zu verstehen. Das Wissen um die Anwendbarkeit von FOSS auf 
Software- und Software-Hardware-Schnittstelleninnovationen wird dazu beitragen, 
die Aktivitäten in Bereichen mit höheren Änderungs- und Anpassungskosten von der 
Domäne der FOSS-Communities abzugrenzen. SSOs können sich selbstbewusst in 
Technologiebereichen positionieren, in denen hohe Änderungs-und Anpassungskos- 
ten und dadurch ein ressourcenbedingtes langsameres Innovationstempo und eine 
prozessgetreue Apriori-Standardisierung von Vorteil sind. Bei der Zusammenarbeit 
mit FOSS-Communities sollte es als wichtig angesehen werden, die FOSS-Commu- 
nity-Verhaltensnormen zu verstehen, die sich in der kollaborativen Zusammenarbeit 
manifestiert haben. SSOs sollten mit Blick auf die Kollaboration mit FOSS-Commu- 
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nities besonders die Förderung von Normungs- und Standardisierungsvorhaben mit 
standardessentiellen Patenten kritisch betrachten, bei denen private Unternehmen 
versuchen das kollaborativ erarbeitete Ergebnis im eigenen Interesse zu monetarisie- 
ren. SSOs können z. B. beschließen, die Teilnahme von FOSS-Community-Mitgliedern 
zu unterstützen und zu fördern. Auf Mitgliedsbeiträge, auf kollaborationshemmende 
Verfahren für die Gremienarbeit und andere Barrieren könnte verzichtet werden, da 
sie nicht nur eine Zusammenarbeitsbarriere darstellen, sondern auch die Akzeptanz 
der SSOs durch Verletzung der Meritokratie untergraben. Von einigen SSO-Mitglieds- 
unternehmen ist Widerstand gegen die Förderung von FOSS-Aktivitäten zu erwarten, 
entweder aus Mangel an Verständnis oder weil die Ergebnisse mit ihren bestehenden 
Produkten konkurrieren können. Im Hinblick auf ihre eigenen Geschäftsmodelle soll- 
ten SSOs diese proaktiv überdenken und sich darauf vorbereiten, sich von Modellen 
zu entfernen, die vom Verkauf von Informationsgütern, wie die Veräußerung von Ko- 
pien eines Standards gegen eine Gebühr, abhängig sind. Ein erster Schritt kann das 
Bereitstellen von kostenlosen Kopien von Standards für FOSS-Communities sein. Im 
Allgemeinen werden Mitgliedsbeiträge für teilnehmende Unternehmen in der breite- 
ren FOSS-Community akzeptiert, nicht aber für die Nutzung von Spezifikationen oder 
Produkten, die kollaborativ erarbeitet worden sind. SSOs sollten in Betracht ziehen, 
zu akzeptieren, dass der traditionelle Ansatz der Normung und Standardisierung mit 
den niedrigen Änderungs- und Anpassungskosten und dem hohen Innovationstempo 
der Softwareindustrie nicht immer optimal funktioniert und stattdessen beschließen, 
ihre Aktivitäten so zu erweitern, so dass sie Teil der breiteren Open-Source-Commu- 
nity werden. Durch die Anerkennung der FOSS-Community als gleichberechtigter 
Partner im Bereich der Entwicklung von Normen und Standards könnten SSOs Teil 
der Meritokratie der Community selbst werden und ihr Dienstleistungsportfolio er- 
weitern, indem sie ihren Mitgliedern Einblick in die De-facto-Standardisierung und 
weitere Aktivitäten von FOSS-Communities in einem bestimmten Technologiefeld 
bieten. SSOs könnten die Zusammenarbeit mit den FOSS-Communities als eine Chan- 
ce betrachten, neue Regeln und Prozesse zu etablieren, um die Eintrittsbarrieren für 
Innovatoren in den Bereich der formellen Normung und Standardisierung zu verrin- 
gern. 


Empfehlungen für Unternehmen 


Um wettbewerbsfähig zu bleiben, müssen Unternehmen ihre Forschungs- und Ent- 
wicklungsausgaben auf Merkmale konzentrieren, welche die Produkte in den Augen 
der Verbraucher differenzieren. Durch die Anwendung des Grundsatzes „Differenzie- 
ren oder Standardisieren“ bündeln Unternehmen Investitionen in nicht differenzie- 
rende Merkmale mit anderen Kooperationspartnern - sogar Wettbewerbern, so dass 
sie den Anteil der Forschungs- und Entwicklungsausgaben erhöhen können, der in 
das investiert wird, was ihre eigenen Produkte einzigartig macht. Die Teilnahme in 
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FOSS-Communities ist dabei eine bewährte Methode zur permanenten, nicht diffe- 
renzierenden Zusammenarbeit. Um erfolgreich in FOSS-Communities teilnehmen zu 
können, müssen Unternehmen die unterschiedlichen Verhaltensnormen der Com- 
munities verstehen, die in der kollaborativen Umgebung von FOSS-Communities im 
Vergleich zum Wettbewerbsumfeld angewendet werden. Die allgemeine Anwendung 
von nicht verhandelbaren Lizenzen und Governance-Normen bedeutet, dass Unter- 
nehmen von Versuchen Abstand nehmen sollten, die Ergebnisse kollaborativer FOSS- 
Entwicklungsprozesse durch nachgelagerte Einschrankungen der Softwarefreiheit zu 
nutzen. Sobald akzeptiert wird, dass die Produkte von FOSS den nicht differenzie- 
renden Stand der Technik repräsentieren, wird der Erwerb von Exklusivrechten an 
den in der kollaborativen Umgebung entwickelten Funktionen bedeutungslos. Um als 
„gute Bürger“ der breiteren Open-Source-Community akzeptiert zu werden, sollten 
Unternehmen die Verhaltens- und Governance-Normen der breiteren Open-Source- 
Community bei der Teilnahme verstehen und respektieren. Die Entscheidungen, sich 
an der Spezifikation und der Implementierung von Standards zu beteiligen, müssen 
separat getroffen und als komplementär betrachtet werden. 


Empfehlungen an die Regulierungsbehörden 


SSOs und FOSS engagieren sich in einem gesunden Wettbewerb (aus der Prozess- 
sicht), der technische Innovationen fördert. Werden beide als industriepolitische In- 
strumente betrachtet, können Regulierungsbehörden sich dafür entscheiden, gleiche 
Wettbewerbsbedingungen zu schaffen. Dies erfordert einen Austausch zwischen dem 
evolutionären Auswahlprozess in FOSS und der Formalisierung von SSOs, kann aber 
auch zusätzliche Verpflichtungen wie die Arbeit mit Multi-Stakeholder-Plattformen 
oder die Einhaltung von Mindeststandards für Governance-Normen, die die langfris- 
tige Lebensfähigkeit des FOSS-Entwicklungsmodells unterstützen, mit sich bringen. 
Zu diesem Zweck sollte die Rolle der FOSS-Dachverbände näher an die der SSOs her- 
angezogen werden. Die öffentliche Unterstützung von FOSS-Stiftungen könnte auf 
ein Niveau angehoben werden, das mit der Unterstützung von SSOs vergleichbar ist, 
insbesondere wenn sie sich für einen gemeinnützigen Zweck engagieren. Die Akzep- 
tanz des öffentlichen Interesses an den Beiträgen, die FOSS zum GemeinwoHl leistet, 
könnte die Gründung von europäischen FOSS-Entwicklungsorganisationen neben 
oder integriert mit bestehenden SSOs rechtfertigen. Hier ist ein schonender Ansatz 
zu wählen, um den empfindlichen Upstream-Downstream-Produktionsprozess nicht 
zu unterbrechen, der auf dem Prinzip der Selbstidentifizierung basiert. Dies kann 
vermieden werden, indem wettbewerbsfähige, zeitlich befristete Zuschüsse ähnlich 
der aktuellen Forschungsförderung der EU gewährt werden. Regierungs- und Regu- 
lierungsvertreter sollten erwarten, dass sie als willkommene inhaltlich Betragende 
aufgenommen werden, aber auch ihre Verdienste in den Gemeinden wie jeder an- 
dere Beitragende verdienen müssen. Bei der Entwicklung öffentlicher Maßnahmen 
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zur Förderung der Entwicklung von FOSS sind branchenspezifische Erfahrungen 
möglicherweise nicht verallgemeinerbar. Der hochkonzentrierte, regulierte und po- 
litisch beeinflusste Mobilfunksektor sollte daher kein Maßstab für die Entwicklung 
der allgemeinen öffentlichen FOSS-Politik sein. Erfahrungen aus einer Vielzahl hoch- 
innovativer Technologiebereiche wie Cloud-Native Computing, automotive Plattfor- 
men oder Programmiersprachen (AutomotoveGradeLinux 2018), dieStandards setzen 
und implementieren, sollten herangezogen werden. Es müssen praktische Ansätze 
entwickelt werden, die den Trend zu Offenheit und Transparenz widerspiegeln. Ex- 
klusive Rechte Dritter an formellen Standards, die teilweise verpflichtend sind oder 
deren Einhaltung den Markteintritt erschwert, werden weniger akzeptiert sein und 
können von der Öffentlichkeit als Einladung zu moralisch gefährlichem Verhalten 
angesehen werden. Neben Wohlfahrtsverlusten durch „Erfindung um den Standard 
herum“ oder Nichtkonformität zum Standard kann die öffentliche Politik, die SEPs 
fördert, die Wettbewerbsfahigkeit der lokalen Industriesektoren untergraben, indem 
sie Außenstehende zur weltweiten Zusammenarbeit bei der Entwicklung von FOSS- 
Lösungen einlädt. Die Verfügbarkeit formeller offener und kostenloser Standards, 
deren Einhaltung zwingend vorgeschrieben oder praktisch erforderlich ist, würde 
diese Entwicklung ausschließen. 

Die Annahme, dass der Staat es vermeiden sollte, die wirtschaftlichen Aktivitä- 
ten privater Unternehmen auf dem Markt zu verdrängen, gilt im Allgemeinen nicht für 
die Aktivitäten von FOSS-Communities. Wird das kollaborativ erstellte Produkt unter 
einer freien Softwarelizenz als unendlich verfügbares Gemeingut zur Verfügung ge- 
stellt, beeinträchtigen oder konkurrieren Beiträge des Staates nicht mit privaten Un- 
ternehmen. Staatliche Stellen können beschließen, sich an den Aktivitäten von FOSS 
zu beteiligen, um ihren eigenen Nachfragen nach Lösungen entgegenzukommen, oh- 
ne den Wettbewerb zu beeinträchtigen (Free Software Foundation Europe 2018). Öf- 
fentliche inhaltliche Beiträge an FOSS-Communities sollten als wettbewerbsfördernd 
angesehen werden, da sie es allen Unternehmen ermöglichen, ihre Investitionen auf 
differenzierte Produkteigenschaften zu konzentrieren. Das Argument, dass alle von 
der öffentlichen Hand produzierten Informationsgüter unter freien Lizenzen freigege- 
ben werden sollten, sollte ernsthaft untersucht werden. Die Einrichtung einer Agentur 
zur Förderung und Unterstützung der Entwicklung von FOSS auf EU-Ebene oder die 
Beauftragung bestehender SSOs auf europäischer oder nationaler Ebene mit dieser 
Verantwortung ist eine praktikable Option. 

Im Rahmen dieser Studie wird — im Gegensatz zum engeren Verständnis der 
SSOs - Standardisierung entsprechend dem „Phasenmodell der Standardisierung“ 
als ein Weg gesehen, der von der Idee zur branchenweiten Verbreitung durch die Pha- 
sen Spezifikation und Implementierungen, oder eine Kombination aus beiden, führt. 
Die Reihenfolge, in der die Phasen berührt werden, variiert mit den von den Teil- 
nehmern gewählten technischen Innovationsstrategien. Bei der Anwendung dieses 
Modells stellen FOSS und SSOs konkurrierende Prozesse dar, die zu komplementaren 
Produkten führen. Standardisierung dient einem Zweck, sie ist kein Selbstzweck. Es 
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ist ein Mittel zur Verbesserung unserer allgemeinen Lebensqualitat u.a. durch Effi- 
zienzgewinne und Skaleneffekte basierend auf der breiten Anwendung technischer 
Standards. Durch die Schaffung gleicher Wettbewerbsbedingungen, in denen SSOs 
und die breitere Open-Source-Community bei der technischen Standardisierung zu- 
sammenarbeiten und auch als Standardisierungsinstrumente konkurrieren können, 
können Innovatoren und Regulierungsbehörden sicherstellen, dass der am besten 
geeignete Prozess für die Entwicklung eines Standards ausgewählt wird. SSOs und 
FOSS sind Konkurrenten und Kollaborateure zugleich. Gemeinsam tragen sie dazu 
bei, die Chancen und die Risiken der Globalisierung und Digitalisierung zu erkennen 
und zu überwinden. Durch die Anerkennung des Beitrags von SSOs und der breite- 
ren Open-Source-Community zum Gemeinwohl hat die Gesellschaft die Möglichkeit, 
die Grundlagen für moderne Institutionen zu schaffen, die technische Innovationen 
gestalten und fördern. 
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Mona Mirtsch 
9 Konformitatsbewertung 
im Bereich Cybersicherheit 


9.1 Einleitung 


Die digitale Transformation und insbesondere das Internet der Dinge (Internet of 
Things IoT) ermöglichen eine wachsende Zahl von neuen Dienstleistungen, soge- 
nannten Smart Services, sowohl im industriellen- und auch im Verbraucherbereich. 
Einhergehend mit den Chancen treten jedoch auch Risiken insbesondere im Zusam- 
menhang mit der IT- und Cybersicherheit in den Vordergrund, die nicht nur Organi- 
sationen, sondern auch Einzelpersonen und die breite Offentlichkeit betreffen. Ein 
bekanntes Beispiel fiir aktuelle Bedrohungen im Bereich der Cybersicherheit stellt 
hierbei der sogenannte WannaCry-Ransomware-Vorfall! dar, der im Jahr 2017 unter 
anderem auf große Unternehmen wie die Deutsche Bahn AG abzielte und dort Anzei- 
getafeln in Bahnhöfen lahmlegte (BSI 2017). 

Cybersicherheit ist ein komplexes Konstrukt, da es nicht nur die Produkte (ein- 
schließlich Hard- und Software) und Systeme, sondern auch die gesamte Infrastruk- 
tur (wie cloudbasierte Dienste) und verknüpfte Organisationen betrifft. Als Vorausset- 
zungen für sichere Produkte, Dienstleistungen und Prozesse wird die Cybersicherheit 
nach Auffassung einiger Interessengruppen aus regulativer Sicht bisher jedoch unzu- 
reichend berücksichtigt (ANEC und BEUC 2018; IFIA/CEOC 2017; VdTÜV 2017). 

Die Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus 
von Netzwerk- und Informationssytemen in der EU (NIS-Richtlinie) stellt einen ersten 
Schritt dar, insbesondere im Bereich der kritischen Infrastrukturen (European Com- 
mission 2016). Der aktuelle europäische Vorschlag eines Rechtsaktes zur Cybersicher- 
heit (Bundesrat 2017) - im Folgenden Cybersecurity Act - zielt darauf ab, mit Hilfe 
eines europäischen Zertifizierungsrahmens die Sicherheit und das Vertrauen in Pro- 
dukte und Dienste der Informations- und Kommunikationstechnologie (IKT) zu erhö- 
hen und die derzeitige europäische Fragmentierung in Bezug auf bestehende, meist 
nationale, Zertifizierungssysteme zu verringern. 

Das Ziel dieses Kapitels besteht darin, die Rolle von Konformitätsbewertung für 
die Erhöhung der Cybersicherheit von Produkten, Dienstleistungen und Prozessen zu 
betrachten. Dazu wird der Begriff Cybersicherheit beleuchtet sowie ausgewählte Cy- 


1 Hierbei handelte es sich um eine sogenannte Schadsoftware (malware), die den Zugriff auf Anwen- 
dungen oder Daten verschafft und mit einer Lösegeldforderung zur Freigabe der Daten oder Anwen- 
dungen (ransom englisch für Lösegeld), meist in Form von Kryptowährungen (wie z.B. bitcoin), ver- 
bunden ist. 


https: //doi.org/10.1515/9783110629057-009 
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bersicherheitsnormen kurz vorgestellt. Im Folgenden wird der regulative europäische 
Rahmen für die Konformitätsbewertung aus ordnungspolitischer Sicht sowie der aktu- 
elle Verordnungsentwurf zum Cybersecurity Act (Bundesrat 2017) dargestellt. Im Ana- 
lyseteil werden Positionen ausgewählter Interessengruppen, diein einem definierten 
Zeitraum in Bezug auf den Cybersecurity Act systematisch gesammelt wurden, analy- 
siert und daraus Handlungsempfehlungen abgeleitet sowie ein Ausblick auf die Ent- 
wicklung der Konformitätsbewertung in der digitalen Transformation gegeben. 


9.2 Status quo 
Definition von Cybersicherheit 


Die Begriffe Informationssicherheit, Informationstechnologie- (IT) Sicherheit und Cy- 

bersicherheit werden allzu oft synonym verwendet, wobei der Begriff Cybersicherheit 

am weitreichendsten ist (Solms und van Niekerk 2013). Allen Begriffen ist gemein, 

dass sie sich u.a. auf die drei Ziele Vertraulichkeit, Integrität und Verfügbarkeit be- 

ziehen. Diese sind nach der ISO/IEC Norm 27000 folgendermaßen definiert: 

- Vertraulichkeit (confidentiality): Eigenschaft, dass Information unbefugten Perso- 
nen, Entitäten oder Prozessen nicht verfügbar gemacht oder offengelegt wird 

- Integrität (integrity): Eigenschaft der Richtigkeit und Vollständigkeit 

- Verfügbarkeit (availability): Eigenschaft zugänglich und nutzbar zu sein, wenn 
eine befugte Entität Bedarf hat (DIN 2017) 


Informationssicherheit beschreibt die „Aufrechterhaltung der Vertraulichkeit [...], In- 
tegritat [...] und Verfügbarkeit |... ] von Informationen“ (DIN 2017). Darauf aufbauend 
differenziert von Solms (2013) IT-Sicherheit von Informationssicherheit dahingehend, 
dass bei der IT-Sicherheit die Informationen mit Hilfe von IT-Technologien gespeichert 
oder übertragen werden. Laut dem Bundesministerium des Innern (2016) bezieht sich 
die IT-Sicherheit auf die Informationssicherheit innerhalb eines informationstechni- 
schen Systems, wobei sich dieses auf eine abgeschlossene Einheit bezieht. 

Cybersicherheit stellt insofern eine Erweiterung des Begriffes IT-Sicherheit dar, 
als dass der Cyberraum den virtuellen Raum aller (z. B. über das Internet) verbunde- 
nen und anschließbaren IT-Systeme weltweit beschreibt. Daher ist Cybersicherheit, 
z.B. in der deutschen Cybersicherheitsstrategie, als IT-Sicherheit aller angeschlosse- 
nen Informationssysteme definiert (Bundesministerium des Innern 2016). 

Gemäß einer Studie der CEN/CENELEC-Fokusgruppe hat Cybersicherheit ferner 
einen weitaus größeren Anwendungsbereich und beschränkt sich nicht nur auf die 
Informationssicherheit (Abbildung 9.1). 

Die Cybersicherheit gilt demnach auch für den Schutz von Sachwerten wie Pro- 
duktionslinien, Kraftwerke oder Industrielle Automatisierungs- und Steuerungssys- 
teme. Dabei kann die Bedrohungsquelle entweder krimineller Herkunft sein (z. B. bei 
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Abb. 9.1: Bestandteile von Cybersicherheit (Quelle: Eigene Darstellung basierend auf CEN/CENELEC 
(2017)). 


Hackerangriffen) oder auch unbeabsichtigter Natur sein (z. B. aufgrund menschlicher 

Fehler). Zusammenfassend beschreibt die CEN/CENELEC-Fokusgruppe (2017) Cyber- 

sicherheit als Sicherheit im Cyberraum. Diese umfasst dabei die Merkmale Vertrau- 

lichkeit, Integrität und Verfügbarkeit im Sinne der ISO/IEC-Norm 27000 erweitert um 

den Schutz der Privatsphäre und die Resilienz vor Cyberangriffen. Die Schutzziele in 

Bezug auf die Privatsphäre umfassen laut einer Konferenz der unabhängigen Daten- 

schutzbehörden des Bundes und der Länder (2018) folgende Aspekte: 

- Datenminimierung: Begrenzung der notwendigen Datenerfassung auf das not- 
wendige Maß 

- Nichtverkettung: keine Zusammenführung von personenbezogenen Daten 

- Transparenz: Darlegung der erhobenen Daten und Zweck der Erhebung 

—  Intervenierbarkeit: Recht auf Auskunft sowie Speicherung und Löschung der Da- 
ten bei Wunsch der Personen (DSK 2018) 


Unter Resilienz vor Cyberangriffen wird die Widerstandsfähigkeit verstanden, auftre- 
tende Cyberangriffe zu bewältigen und u. a. daraus neue Erkenntnisse und Fähigkei- 
ten zur Bewältigung potentieller zukünftiger Cyberangriffe zu gewinnen (CEN/CENELEC 
2017). 

Der Begriff Cybersicherheit kann jedoch nicht nur einen Zustand, sondern auch 
Tätigkeiten umfassen. Im Entwurf des Cybersecurity Acts werden als Cybersicherheit 
„alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, deren Nut- 
zer und betroffenen Personen vor Cyberbedrohungen zu schützen“ (Bundesrat 2017) 
verstanden. Diese Definition wird auch im Rahmen dieses Kapitels zugrunde gelegt. 


Cybersicherheitsrelevante Normen und Standards 


Eine große Anzahl von Normen und Standards befassen sich mit Cybersicherheit. Die 
Europäische Cyber-Sicherheitsorganisation (ECSO), die die europäische Cybersicher- 
heits-Industrie als Vereinigung vertritt, hat eine umfangreiche Übersicht über rele- 
vante Spezifikationen, Normen und Systeme in Bezug auf Cybersicherheit erstellt, die 
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regelmäßig überarbeitet wird (European Cyber Security Organisation 2017). Demnach 
können Cybersicherheitsstandards und -normen unterteilt werden in Kategorien für: 
- Produkte bzw. Komponenten 

— Systeme 

- Organisationen 

-  IKT-Service-Provider 

-  Cloud-Service- (d. h. Infrastruktur-) Anbietern 

- Personen 


Im Folgenden werden drei cybersicherheitsrelevante Normen bzw. Normenfamilien 
im Bereich Managementsysteme, Systeme/Komponenten sowie Kriterien zur Bewer- 
tung vorgestellt, denen im Kontext des Cybersecurity Acts besondere Bedeutung 
als Grundlage für die Konformitätsbewertung zugesprochen wurden (CEN/CENELEC 
2018a). Diese unterscheiden sich neben dem Anwendungsgebiet, im Prüfansatz, in 
der Marktbedeutung und hinsichtlich der internationalen gegenseitigen Anerken- 
nung. 

Die weit verbreite Normenreihe ISO/IEC 27000 beschreibt den Aufbau und die 
Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Da es 
sich um allgemeine Anforderungen handelt, ist die Normenreihe sowohl für kleine 
und mittlere Unternehmen (KMU) als auch für große Unternehmen sowie für weitere 
Organisationsarten (wie z.B. Behörden und gemeinnützige Gesellschaften) sektor- 
übergreifend anwendbar, wobei insbesondere die Kosten der Implementierung der 
Norm und die Zertifizierung — gerade für KMU - eine nicht unerhebliche Hürde dar- 
stellen können. Das ISMS bezieht sich dabei sowohl auf IT-Systeme, Prozesse sowie 
Personen (Fuchsberger 2018). Während in der ISO/IEC 27000 relevante Begriffe defi- 
niert werden, legt die folgende ISO/IEC 27001 die ISMS-Zertifizierungsanforderungen 
fest. Branchenspezifische Anwendungen, wie die von Telekommunikationsorgani- 
sationen (ISO/IEC 27011), Cloud-Computing-Dienste (ISO/IEC 27017) oder Anforde- 
rungen an Energieversorgungsunternehmen (ISO/IEC TR 27019) werden in weiteren 
Bestandteilen der Normenreihe beschrieben. Eine Zertifizierung ist jedoch, analog zur 
ISO 9000er Standardfamilie und ISO 9001, nur nach ISO/IEC 27001 möglich (ISO/IEC 
2013). Branchenspezifische Normen können als Bestandteil eines Konformitätsbe- 
wertungsprogramms mit einbezogen werden, wenn sie nicht im Widerspruch zu den 
in der ISO/IEC 27001 festgelegten Anforderungen stehen (ISO/IEC 2017). Gemäß der 
jährlich durchgeführten ISO-Studie wurden in Deutschland im Jahr 2016 insgesamt 
1.338 Zertifikate von akkreditierten Konformitätsbewertungsstellen erteilt, wobei dies 
ein Anstieg um 35 % gegenüber dem Vorjahr darstellt (ISO 2017). 

Die Normenreihe IEC 62443 „Industrielle Kommunikationsnetze - IT-Sicherheit 
für Netze und Systeme“ wurde für Produkte und Dienstleistungen im Bereich der 
industriellen Steuerungs- und Automatisierungstechnik entwickelt und stellt nach 
Auffassung von Konformitätsbewertungsstellen und der Industrie die bedeutendste 
Grundlagennorm für die Zertifizierung von Produkten, Prozessen und Dienstleistun- 
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Abb. 9.2: Übersicht zur Normenreihe IEC 62443 (Quelle: Eigene Darstellung basierend auf TÜV Nord 
(2017b)). 


gen im Bereich der vernetzten Systeme dar (TÜV Nord 2017b; ZVEI 2017). Initiiert von 
der internationalen Gesellschaft für Automatisierung wurde diese Standardreihe von 
der IEC weiterentwickelt. 

Die Normenreihe IEC 62443 befasst sich zentral mit der Cybersicherheit von Indus- 
trial Automation Control Systemen (IACS), die als IT-System, bestehend aus mehreren 
Komponenten wie z.B. Aktoren und Sensoren, der Steuerung von Produktionsstra- 
ßen und Prozessstrecken dienen. Des Weiteren bezieht die IEC 62443 auch Anforde- 
rungen an die Produktentwicklung sowie Sicherheitsanforderungen an IACS Produkte 
mit ein. Aufgrund der komplexen Betrachtungsweise und des ganzheitlichen Schut- 
zes wird die IEC 62443 als die führende Normenfamilie im Bereich Industrial Cyber- 
security betrachtet und aufgrund fehlender branchenspezifischer Normen auch von 
weiteren Industriezweigen genutzt (ZVEI, 2017). Die Normenreihe gliedert sich in die 
Teile Allgemeines, Politik und Prozesse, System sowie Komponenten. Abbildung 9.2 
zeigt die insgesamt 11 Teilnormen (TÜV Nord 2017b). 

Eine weitere normative Grundlage in diesem Bereich steht seit 1999 mit der 
ISO/IEC 15408er Normenreihe zur Verfügung. Die darin formulierten Evaluationskri- 
terien für IT-Sicherheit haben ihren Ursprung in einer internationalen, behördlichen 
Zusammenarbeit, die erstmals 1996 gemeinsame Grundlagen für die Bewertung von 
Datensicherheit postulierten. Das Ziel dieser Einigung war die bessere Vergleichbar- 
keit sowohl der Überprüfung von Informationstechnik als auch der Zertifizierung auf 
Produktebene. Die Bewertung kann sich dabei sowohl auf Produkte als auch ein- 
zelne Komponenten und Systeme beziehen. Damit grenzt sich diese Normenreihe 
auch von der ISO/IEC 27001 ab, die Anforderungen an eine Organisation und deren 
Managementsystem beschreibt. Die sogenannten Common Criteria (2018) stellen im 
Gegensatz zu den beiden vorher genannten Normenfamilien ferner keine technische 
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Anforderungen fiir die Bewertung von Produkteigenschaften fest, sondern Kriterien 
auf der Ebene der Priifverfahren zur Bewertung von Informationstechnik und un- 
terscheiden streng nach Funktionalität und Vertrauenswürdigkeit. Die Normenreihe 
gliedert sich in drei Teile: Während der erste Teil Begriffe erläutert sowie allgemeine 
Prinzipien (Introduction and general model), beschreibt der zweite Teil funktiona- 
le Sicherheitsanforderungen (Security functional components) und der dritte Teil 
Anforderungen an die Vertrauenswürdigkeit (Security assurance components). Die 
Prüfungsintensität kann nach sogenannten Vertrauenswürdigkeitsstufen (Evaluation 
Assurance Levels, EAL) angepasst werden. Der Prüfumfang sowie die Prüfmethode 
ergeben sich aus der angestrebten EAL-Stufe für das jeweilige zu prüfende Produkt 
(TÜV Nord 2017a). Die Common Criteria werden vorwiegend für behördliche Produkte 
(wie z.B. Smart Cards, Zugangsberechtigungssysteme oder biometrische Systeme) 
verwendet. Ausgewählte europäische Sicherheitsbehörden haben im Rahmen des 
sogenannten SOG-IS-Abkommens (Senior Officials Group - Information Systems Se- 
curity) festgelegt, dass auf Basis der gemeinsamen Kriterien erstellte Zertifikate bis 
zur EAL-Stufe 4 anerkannt werden. Für bestimmte technische Bereiche wie z. B. Smart 
Cards, ist auch eine höherwertige Anerkennung möglich. Jedoch sind bisher ledig- 
lich 14 der europäischen Mitgliedstaaten dem SOG-IS Abkommen beigetreten (SOGIS 
2017). Weltweit werden Zertifikate nur mit EAL 1 und 2 im Rahmen des Common 
Criteria Recognition Arrangements (CCRA) gegenseitig anerkannt (Bundesrat 2017). 

Während die ISO/IEC 27001 und IEC 62443 Anforderungen an Unternehmen bzw. 
Produkte/Systeme definieren (Gegenstand der Bewertung), beschreiben die Common 
Criteria bzw. die ISO/IEC 15408 die Anforderungen, Prüfung und Bewertung selbst, 
sprich für die Konformitätsbewertung an eine Konformitätsbewertungsstelle (Normen 
zur Evaluierung), und legen fest, mit welchem Prüfaufwand welche Vertrauenswür- 
digkeitsstufe hinsichtlich der Prüfung erreicht werden kann. Damit legen die Common 
Criteria keine Anforderungen an das Produkt bzw. die Prozesse fest, tragen jedoch ins- 
besondere im internationalen behördlichen Kontext zu gemeinsamen Prüfungskrite- 
rien und zur gegenseitigen Anerkennung bei. 


Der regulative Rahmen und das System der Konformitätsbewertung 


Produkte und Dienstleistungen, die auf dem europäischen Binnenmarkt angeboten 
werden, müssen Anforderungen in Bezug auf Sicherheit, Gesundheit, Umwelt- und 
Verbraucherschutz einhalten. Im sogenannten alten Konzept (Old Approach) wurden 
die notwendigen technischen und administrativen Anforderungen an Produkte und 
Dienstleistungen detailliert in Rechtsvorschriften beschrieben (Europäische Kommis- 
sion 2016). Seit der Einführung des sogenannten neuen Konzepts (New Approach) im 
Jahr 1985 (Official Journal ofthe European Communities 1985) müssen die auf dem EU- 
Markt in Verkehr gebrachten Produkte harmonisierten „wesentlichen Anforderungen“ 
in Bezug auf Sicherheit, Gesundheit, Umwelt- und Verbraucherschutz entsprechen 
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(Europäische Kommission 2016). Die wesentlichen Anforderungen werden gemäß 
dem Vertrag über die Arbeitsweise der Europäischen Union in Form von Verordnun- 
gen, Richtlinien und Beschlüssen definiert (Art. 288 AEUV). Diese betreffen große 
Produktfamilien (wie z. B. Spielzeug, Bauprodukte oder Maschinen) bzw. horizontale 
Risiken (wie z.B. elektromagnetische Verträglichkeit) (CEN 2018). Die spezifischen 
Anforderungen an die Produkte werden in harmonisierten Normen festgeschrieben 
(Europäische Kommission 2016). Dazu kann die Europäische Kommission die Eu- 
ropäischen Normungs- und Standardisierungsorganisationen (CEN/CENELEC bzw. 
ETSI) auffordern, technische Normen und Spezifikationen zu entwickeln, falls die- 
se noch nicht verfügbar sind. Die Verwendung der harmonierten Normen ist nicht 
gesetzlich erforderlich - allerdings löst deren Anwendung die Vermutungswirkung 
gegenüber Dritten aus, dass der Hersteller durch die Beachtung der Normen die 
gesetzlich vorgeschriebenen Anforderungen erfüllt (DIN 2018). Falls ein Hersteller 
beschließt, andere technische Spezifikationen zu nutzen, obliegt es ihm (in den 
meisten Fällen durch die unabhängige Bestätigung eines Dritten) nachzuweisen, 
dass wesentliche Anforderungen erfüllt wurden (Europäische Kommission 2016). Das 
CE-Zeichen (Conformité Européenne, d.h. europäisches Konformitätszeichen) kenn- 
zeichnet als Herstellererklärung, dass das Produkt den Anforderungen der geltenden 
europäischen Richtlinien bzw. Verordnungen entspricht. Dies richtet sich jedoch 
nicht (wie fälschlicherweise oftmals angenommen) an die Verbraucher (ANEC 2012), 
sondern an Marktüberwachungsbehörden. 

Die Art der Konformitätsbewertung ergibt sich mit dem Gesamtkonzept zur Kon- 
formitätsbewertung (Global Approach) aus dem Jahr 1990 aus der Zuordnung in so- 
genannte Module (A bis H) der jeweiligen Richtlinien und Verordnungen und bewegt 
sich zwischen Herstellererklärungen und einer Konformitätsbewertung durch ei- 
ne sogenannte Notifizierte Stelle (Europäische Kommission 2016). Als Erweiterung 
des neuen Ansatzes wurde im Jahr 2008 der „neue Rechtsrahmen“ (New Legislative 
Framework, NLF) eingeführt. Dieser umfasst neben der Verordnung (EG) Nr. 765/2008 
zur Schaffung einer rechtlichen Grundlage der Akkreditierung und der Marktüber- 
wachung die Verordnung (EG) Nr. 764/2008 über Verfahren im Zusammenhang mit 
der gegenseitigen Anerkennung in der EU und den Beschluss Nr. 768/2008 über ei- 
nen gemeinsamen Rechtsrahmen für die Vermarktung von Produkten (Europäische 
Kommission 2016). 

Der Konformitätsbewertung, definiert nach ISO als „Darlegung, dass festgelegte 
Anforderungen bezogen auf ein Produkt, einen Prozess, ein System, eine Person oder 
eine Stelle erfüllt sind“ (ISO/IEC 2004), kommt demnach eine wesentliche Rolle zum 
Nachweis der Einhaltung wesentlicher Anforderungen an Produkten und Dienstleis- 
tungen sowie dem Abbau von Handelshemmnissen (durch die gegenseitige Anerken- 
nung von Konformitätsbewertungen) im internationalen Handel zu. Das System der 
Konformitätsbewertung besteht gemäß Teichler et al. (2013) aus den folgenden drei 
Bestandteilen: 
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— die Anforderungen an Produkte bzw. Dienstleistungen: definiert bspw. durch har- 
monisierte europäische Normen und Standards 

- Aktivitäten der Konformitätsbewertung: Diese beinhalten neben der Prüfung, In- 
spektion und Zertifizierung (ISO/IEC 2004) auch weitere Tätigkeiten wie die Kali- 
brierung, Verifikation, Anbieten von Eignungsprüfungen und Herstellen von Re- 
ferenzmaterialien. 

- die Bestätigung der Kompetenz der Konformitätsbewertungsstelle. Dies erfolgt 
gemäß der Verordnung (EG) Nr. 765/2008 durch eine nationale Akkreditierungs- 
stelle. 


Im Hinblick auf den Bedarf an Konformitätsbewertung werden in Deutschland die fol- 
genden drei Bereiche unterschieden: 

Im freiwilligen Bereich erfolgt die Konformitätsbewertung auf Initiative der Markt- 
teilnehmer hin. Im Zuge von Marktkräften können Marktteilnehmer beispielsweise ein 
Interesse haben, als vertrauensbildende Maßnahme Konformitätsnachweise, wie Zer- 
tifikate, zu nutzen. Der Staat gibt hier keine Vorgaben vor, kann diese Initiativen je- 
doch unterstützen, z. B. durch Mitarbeiten in Normenausschüssen oder Nachfrage von 
Konformitätsbewertungsdienstleistungen (z.B. freiwillige Zertifizierung von Manage- 
mentsystemen von Behörden). Konformitätsbewertungen können dazu beitragen, be- 
stehende Informationsasymmetrien zwischen Marktteilnehmern zu verringern. Viscu- 
si (1978) beschreibt mit Hilfe der Signaling Theorie, dass Hersteller den Verbrauchern 
beispielsweise Produkteigenschaften mit Hilfe von Zertifizierungen signalisieren, um 
sie in die Lage zu versetzen, sich für Produkte mit hoher Qualität zu entscheiden. 
Damit trägt ein Zertifikat oder die Verwendung eines Labels zur Vertrauensbildung 
bei. 

Im gesetzlich geregelten Bereich gibt der Staat in seiner Rolle als Regulierer Vorga- 
ben und kann damit sowohl bei der Festlegung der Anforderungen, bei Vorgaben zur 
Konformitätsbewertung als auch bei der Kompetenzbestätigung aktiv eingreifen. Dies 
erfolgt im Zuge des New Approachs und des NLF durch die Festlegung von wesent- 
lichen Anforderungen in EU-Richtlinien und EU-Verordnungen, wobei die Konformi- 
tätsbewertung in der Regel durch sogenannte Notifizierte Stellen (wie der Bundesan- 
stalt für Materialforschung und -prüfung, BAM) erfolgt. Die Akkreditierung (als eine 
Art der Konformitätsbewertung) hat zum Ziel, die Kompetenz der Konformitätsbewer- 
tungsstelle unparteilich zu bestätigen und damit das Vertrauen zu erhöhen. Darüber 
hinaus wird eine Akkreditierungen durch Anerkennungsabkommen der Akkreditie- 
rungsorganisationen gefördert. Auf europäischer Ebene wird die von der European 
co-operation for Accreditation (EA) im Rahmen des Multilateral Agreement (EA MLA) 
erreicht. International sind derzeit zwei Abkommen in Kraft: Zum einen wird die An- 
erkennung der Akkreditierungen von Laboratorien und Inspektionsstellen durch die 
International Laboratory Accreditation Cooperation (ILAC) in Form von Mutual Reco- 
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gnition Arrangements (MRA) gewährleistet. Zum anderen wird die globale Anerken- 
nung von Akkreditierungen von Zertifizierungsstellen vom International Accredita- 
tion Forum (IAF) in Form von Multilateral Agreements (MLA) ermöglicht (Deutsche 
Akkreditierungsstelle 2018). 

Im hoheitlichen Bereich obliegt es dem Staat, die Rahmenbedingungen fiir Kon- 
formitätsbewertung festzulegen, diese ggf. selbst zu übernehmen bzw. die Grundla- 
gen dafür selbst festzulegen. Dies ist beispielweise im Schutzbereich der inneren Si- 
cherheit, wie z.B. der Justiz und der Polizei, der Fall. Ein konkretes Beispiel umfasst 
die Konformitätsbewertung von Metalldetektoren und Scannern für Gepäck und Pas- 
sagiere, die z. B. am Flughafen eingesetzt werden. Der Staat legt in diesem Bereich die 
Anforderungen fest (z. B. mit eigenen Spezifikationen oder durch Bezug auf Normen), 
führt die Konformitätsbewertung eigenständig durch oder lässt diese durch von ihm 
zugelassene bzw. zertifizierte Konformitätsbewertungsstellen überprüfen und über- 
nimmt auch die Kompetenzüberprüfung dieser Konformitätsbewertungsstellen, bei- 
spielsweise durch die Zertifizierung der Auditoren (Teichler et al. 2013). Das Haupt- 
argument für eine Konformitätsbewertung im hoheitlichen Bereich liegt darin, dass 
es möglich ist, sowohl die Prüfanforderungen als auch die Prüfmethoden vertraulich 
zu halten. Ein negativer Effekt dabei ist, dass Unternehmen ihre Produkte und Syste- 
me aufgrund national unterschiedlicher Anforderungen mehrfachen Prüfung unter- 
ziehen müssen, falls die Zertifikate international nicht gegenseitig anerkannt werden 
(Wurster und Murphy 2014). 

Die Konformitätsbewertung soll dazu beitragen, Marktunvollkommenheiten zu 
internalisieren. Die Informationsasymmetrie beispielsweise beschreibt den Zustand, 
wenn Käufer und Verkäufer über unterschiedliche Wissensstände verfügen (Stiglitz 
2000). Der amerikanische Wissenschaftler Akerlof (1970) hat am Beispiel des Ge- 
brauchtwagenmarktes beschrieben, wie ein Markt scheitern kann. Anderson und 
Moore (2006) beschreiben in ihrem Aufsatz über die Ökonomie der Informationssi- 
cherheit, dass es sich im Bereich von Sicherheit von Software auch um einen Markt 
handelt, in dem Verbraucher Signale brauchen, um die Qualität von IT-Sicherheits- 
software zu erkennen. Die folgende Abbildung 9.3 stellt das System der Konformi- 
tätsbewertung mit den drei Bereichen und Elementen grafisch als Zusammenfassung 
dar. 

Als der New Approach und der NLF in Europa eingeführt wurden, beschränkten 
sich die zu harmonisierenden Aspekte auf die Bereiche Sicherheit, Gesundheit, Um- 
welt- und Verbraucherschutz (Europäische Kommission 2016). Da aus Sicht verschie- 
dener Akteure (ANEC und BEUC 2018; IFIA/CEOC 2017; VATUV 2017) Cybersicherheit 
eine Voraussetzung für dieSicherheit von Produkten, Dienstleistungen und Prozessen 
ist, kann es nun einen grundsätzlichen Bedarf geben, die grundlegenden Anforderun- 
gen an Produkte und Dienstleistungen zu überarbeiten sowie regulative Maßnahmen 
zur Erhöhung der Cybersicherheit in Europa zu ergreifen. 
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Abb. 9.3: Das System der Konformitätsbewertung und Formen der Internalisierung 
(Quelle: Eigene Darstellung basierend auf Teichler et al. (2013)). 


Europäische Initiativen zur Erhöhung der Cybersicherheit: Cybersicherheitsplan 
der EU und Richtlinie über die Sicherheit von Netz- und Informationssystemen 


Im Jahr 2013 veröffentlichte die EU einen „Cybersicherheitsplan der EU für ein offenes, 
freies und chancenreiches Internet“ (Europäische Kommission 2013). Der Cybersi- 
cherheitsplan beinhaltet die Rolle von Sicherheitsnormen, Sicherheitssiegeln sowie 
EU-weiten Zertifizierungssystemen. Die Richtlinie über die Sicherheit von Netz- und 
Informationssystemen (NIS-Richtlinie) ist der erste Teil einer EU-weiten Gesetzgebung 
zur Erhöhung der Cybersicherheit. Sie zielt auf Dienste ab, die für Gesellschaft und 
Wirtschaft wesentlich sind und zunehmend auf IKT angewiesen sind und schließt 
Betreiber wesentlicher Dienste in den Bereichen Energie, Verkehr, Wasser, Banken, 
Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastruktur sowie An- 
bieter digitaler Dienste, wie Suchmaschinen, Cloud-Computing und Online-Markt- 
plätze, ein. Um diese Richtlinie zu verabschieden, mussten die EU-Mitgliedstaaten 
spätestens bis Mai 2018 nationale Gesetze einführen und die Betreiber wesentli- 
cher Dienste bis spätestens November 2018 ermitteln (European Commission 2016). 
Die nationale Umsetzung der NIS-Richtlinie erfolgte jedoch nicht fristgerecht in allen 
Ländern, wobei der aktuelle Stand auf der Website der Europäischen Kommission ein- 
zusehen ist (European Commission 2018). In Deutschland wurde das Gesetz zur Um- 
setzung der Richtlinie (EU) 2016/1148 in der Union bereits am 23.06.2017 beschlossen, 
welches auf dem IT-Sicherheitsgesetz aus dem Jahr 2015 aufbaut (BSI 2016). Dieses 
Gesetz änderte das bislang gültige BSI-Gesetz und gibt nunmehr den von dem Gesetz 
betroffenen Unternehmen vor, Maßnahmen zur Bewältigung von Sicherheitsrisiken 
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nach dem „Stand der Technik“ zur Gewährleistung eines hohen Sicherheitsniveaus 
umzusetzen. 

In diesem Zusammenhang fordert die zuständige Behörde, dass Betreiber wesent- 
licher Dienste mit dem Inkrafttreten der NIS-Richtlinie mit Hilfe einer Zertifizierung 
einer akkreditieren Konformitätsbewertungsstelle nachzuweisen haben, dass die An- 
forderungen an ein ISMS im Sinne der ISO/IEC 27001 und zusätzlicher, branchenspe- 
zifischer Normen, wie z.B. DIN SPEC 27019, für Energieversorger (Bundesnetzagen- 
tur für Elektrizität 2016) erfüllt werden. Diese Forderung bestand für Energieversor- 
ger bzw. Akteure in den Sektoren Wasser, Ernährung und Informationstechnik und 
Telekommunikation bereits bis zum Stichtag 31.01.2018 bzw. 03.05.2018. Für die Sek- 
toren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen gilt die 
Frist von Juni 2019 zur Erbringung des Nachweises (TÜV Nord 2018). Dieser Nachweis 
ist für Anbieter digitaler Dienste zwar nicht gefordert, jedoch müssen diese Anbieter 
seit dem 10.05.2018 auch Maßnahmen nach dem Stand der Technik in Bezug auf IT- 
Sicherheit ergreifen und Sicherheitsvorfälle melden (BSI 2017). 

Es bleibt anzumerken, dass von der NIS-Richtlinie nur ein Bruchteil der Unter- 
nehmen in Deutschland, z.B. im Bereich der kritischen Infrastrukturen gemäß dem 
BSI nur 2.000 der ca. 3,5 Millionen (Stand 2016), betroffen sein werden (BSI 2016). Ei- 
ne sehr viel größere potentielle Tragweite in Bezug auf die Konformitätsbewertung im 
Zusammenhang mit der Erhöhung von Cybersicherheit stellt der im Folgenden darge- 
stellte Verordnungsentwurf zum Cybersecurity Act dar. 


Case Study: Vorschlag eines Rechtsakts zur Cybersicherheit (Cybersecurity Act) 


Im September 2017 legte die Europäische Kommission einen „Vorschlag für eine Ver- 

ordnung des Europäischen Parlaments und des Rates über die ‚EU Cybersicherheits- 

agentur, (ENISA) [...]‘ sowie über die Zertifizierung der Cybersicherheit von Informa- 

tions- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“) vor (Bundesrat 

2017). In der vorherigen Folgenabschätzung wurden mehrere Probleme im Zusammen- 

hang mit der zunehmenden Anzahl von Cyber-Vorfällen in Europa identifiziert: 
„Unterschiedliche, nebeneinander bestehende Konzepte und Ansätze im Bereich 
der Cybersicherheit in den Mitgliedstaaten, 

-  verstreute Ressourcen und uneinheitliche Ansätze aller Organe, Einrichtungen 
und sonstigen Stellen der EU im Bereich der Cybersicherheit und 

- unzureichende Sensibilisierung und Aufklärung der Bürger und Unternehmen in 
Verbindung mit dem zunehmenden Aufkommen zahlreicher nationaler und sek- 
torspezifischer Zertifizierungssysteme“ (Bundesrat, 2017) 


Der vorgeschlagene Cybersecurity Act verfolgt zwei Ziele: erstens die aktuelle Markt- 
fragmentierung von Cybersecurity-Zertifikaten zu beheben und zweitens die Sicher- 
heit und das Vertrauen von IKT-Produkten und -Dienstleistungen zu erhöhen. 
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Zur Folgenabschätzung hat die Europäische Kommission gemeinsam mit ENISA 

im Jahr 2017 eine europaweite Umfrage durchgeführt, die sich an Behörden der Mit- 

gliedsstaaten, Unternehmen und Verbraucherverbände richtete. Im Rahmen dieser 

quantitativen Erhebung wurden u.a. vier Optionen zum Umgang mit nationalen Cy- 

bersicherheitssystemen abgefragt: 

- Option 0: Nichts tun: Keine politische Initiative oder Maßnahme der EU 

- Option 1: Soft-Law-Ansatz: Kommission würde nationale oder branchenspezifi- 
sche Initiativen fördern und unterstützen 

- Option 2: Ausweitung des SOG-IS-Abkommens (Abkommen ausgewählter Sicher- 
heitsbehörden im Zusammenhang mit den Common Criteria): Legislativer Vor- 
schlag, der die Teilnahme der Mitgliederstaaten an dem SOG-IS-Abkommen ver- 
bindlich vorschreibt 

- Option 3: Europäisches Zertifizierungssystem: EU-weiter Zertifizierungsrahmen 
mit eigenem Geltungsbereich, Regeln für die Arbeitsweise und deren Überwa- 
chung (ENISA 2017) 


Die Rückmeldung von 33 Teilnehmern der Befragung (von denen 14 Teilnehmer na- 

tionalen Behörden der Mitgliedstaaten angehörten) hatte das Ergebnis, dass Option 

3 mit 33% die höchste Zustimmung hatte. Dieses Ergebnis bildete neben weiteren Er- 

hebungen und Workshops im Rahmen der Folgenabschätzung die Grundlage für die 

Ausarbeitung des Rechtsakts zur Cybersicherheit (European Commission 2017b). 

Die Zertifizierung, definiert im Rahmen des Vorschlages als „förmliche Evaluie- 
rung von Produkten, Diensten, Prozessen durch eine unabhängige und akkreditierte 
Stelle anhand bestimmter definierten Kriterien und Normen“ (Bundesrat 2017. S. 10), 
soll demnach dazu beitragen, die Sicherheit zu erhöhen und das Vertrauen zu stärken, 
indem Nutzer und Käufer über die sicherheitsrelevanten Eigenschaften der Produkte 
und Dienste informiert werden. 

Dazu soll die europäische Agentur ENISA beauftragt werden, einen europäischen 
Rahmen „für die Ausarbeitung spezifischer Zertifizierungssysteme für bestimmte 
IKT Produkte/-Dienste für europäische Cybersicherheitssysteme“ (Bundesrat 2017) 
zu schaffen. Dementsprechend würden mit dem Cybersecurity Akt keine operati- 
ven Zertifizierungssysteme geschaffen bzw. eingeführt werden, sondern zunächst ein 
Rahmen. Dieser Rahmen soll folgende Elemente beinhalten (Bundesrat 2017): 

-  Produktkategorien und -art der betroffenen IKT-Produkte und Dienste: Allgemein 
wurden vernetzte Geräte (IoT) als Ausgangpunkt für die Idee eines Zertifizie- 
rungssystems genannt. Der vorgeschlagene Rahmen sollte jedoch nicht auf be- 
stimmte Produkte, Systeme oder Dienstleistungen beschränkt sein. Bestimmte 
Technologien, wie industrielle Automatisierungssysteme, vernetzte und selbst- 
fahrende Fahrzeuge, elektronische Gesundheitssysteme und intelligente Netze 
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(Smart Grids) wurden konkret genannt, da sie ein hohes Maß an Cybersicherheit 
erfordern. 

- Kriterien für die Zertifizierung: Die Zertifizierung besteht hierbei in der „förmli- 
chen Evaluierung von Produkten, Diensten und Prozessen durch eine unabhängi- 
ge und akkreditierte Stelle anhand bestimmter definierter Kriterien und Normen“. 
Dabei können existierende Normen verwendet werden oder bei Bedarf neue Nor- 
men entwickelt werden. 

—  Vorgesehene Vertrauenswürdigkeitsstufe: Die Zertifizierung sollte unterschiedli- 
che Vertrauenswürdigkeitsstufen enthalten, z. B. niedrig, mittel oder hoch, wobei 
sich die Vertrauenswürdigkeitsstufe auf ein begrenzten, mittleres Maß oder ho- 
hes Maß an Vertrauen, bezieht, dass das Zertifikat „in die beanspruchten oder 
behaupteten Cybersicherheitseigenschaften eines IKT-Produktes oder -Dienstes“ 
vermitteln soll. Dabei kann ein europäisches System für die Sicherheitszertifizie- 
rung je nach Produkt- bzw. Dienst eine oder mehrere Vertrauenswürdigkeitsstufen 
beinhalten, wobei eine Einordnung von Produkt- bzw. Dienstleistungsgruppen in 
die drei vorgesehenen Vertrauenswürdigkeitsstufen noch zu erfolgen hat. 


Darüber hinaus soll eine Europäische Gruppe für die Cybersicherheitszertifizierung 
eingerichtet werden, die aus „nationalen Zertifizierungsaufsichtsbehörden aller Mit- 
gliedstaaten“ besteht (Bundesrat 2017). Diese Gruppe würde die ENISA bei der Erstel- 
lung der von der Europäischen Kommissionen geforderten Zertifizierungssysteme für 
Cybersicherheit unterstützen. 

In Bezug auf die Verbindlichkeit der Cybersicherheitszertifizierung, sollte „der 
Rückgriff auf eine europäische Cybersicherheitszertifizierung [...] daher weiterhin auf 
freiwilliger Basis erfolgen, sofern in den Rechtsvorschriften der Union zur Festlegung 
von Anforderungen an die Sicherheit von IKT-Produkten und -Diensten nicht etwas 
anderes bestimmt ist“ (Bundesrat 2017). Aus diesem Passus ergibt sich, dass Unter- 
nehmen zunächst (bis weitere Rechtsvorschriften erlassen werden, die sich auf die 
Cybersicherheit Zertifizierungssysteme beziehen) frei wählen können, ob sie ihre Pro- 
dukte und Dienstleistungen zertifizieren lassen. Allerdings sollen aufgrund des „Vor- 
rang(s) der europäischen Systeme für die Cybersicherheitszertifizierung vor den natio- 
nalen Systemen“ (Bundesrat 2017) nationale Cybersicherheits-Zertifizierungssysteme 
nicht mehr bestehen dürfen und neben den europäischen Systemen und keine na- 
tionalen Systeme für die gleichen IKT-Produkte bzw. -Dienste einer bestimmten Ver- 
trauenswürdigkeitsstufe parallel betrieben werden. Bestehende Zertifikate wären je- 
doch bis zum Ablauf gültig. Dem Vorschlag zufolge könnten nationale Regelungen nur 
dann weiterhin bestehen, wenn IKT-Produkte und -Dienstleistungen nicht durch ein 
europäisches System zur Zertifizierung von Cybersicherheit abgedeckt sind (Bundes- 
rat 2017). 
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9.3 Offentliche Diskussionen zum Cybersecurity Act-Vorschlag 


Der Cybersecurity Act-Vorschlag hat eine kontroverse Diskussion ausgelöst und dazu 

gefiihrt, dass sich interessierte Kreise mit dem Thema Zertifizierung von Cybersicher- 

heit auseinandergesetzt und sich dazu öffentlich umfassend geäußert haben. Mit Hil- 
fe der umfangreichen Positionspapiere, Präsentationen und Beiträge in öffentlichen 

Diskussionsrunden konnte eine umfangreiche Datenbasis aufgebaut werden, die für 

die folgende Analyse genutzt wurde. Der Cybersecurity Act-Vorschlag wurde im Sep- 

tember 2017 veröffentlicht. Hier werden folgende Datenquellen im Zeitraum zwischen 

September 2017 und März 2018 analysiert: 

- Feedback an die Kommission, Vorschlag eines Rechtsakts zur Cybersicherheit 
während der öffentlichen Konsultationsphase (European Commission 2017b) 

—  Podiumsgruppenteilnehmer und veröffentlichte Präsentationen der öffentlichen 
Anhörung zum „Cybersecurity Act“ des Europäischen Wirtschafts- und Sozialaus- 
schusses (European Economic and Social Committee 2018) 

— Podiumsgruppenteilnehmer und veröffentlichte Präsentationen einer Konferenz 
der europäischen Normungsorganisationen und der ENISA mit dem Titel „Cyber- 
security Act — Establishing the Link between Standardisation and Certification“ 
(CEN/CENELEC 2018b) 

- Schriftliche Stellungnahmen, die außerhalb der öffentlichen Konsultationsphase 
veröffentlicht wurden 


Die veröffentlichten Positionspapiere/Presseveröffentlichungen sowie Präsentatio- 
nen wurden systematisch auf Aussagen hinsichtlich eines europäischen Rahmens für 
die Cybersicherheitszertifizierung analysiert. Aus den insgesamt 74 Dokumenten wur- 
den insgesamt 343 Aussagen identifiziert und zu übergreifenden Themen zusammen- 
gefasst. In einem folgenden Schritt wurden die zuvor identifizierten übergeordneten 
Themen innerhalb der einzelnen Interessengruppen verglichen und Unterschiede 
zwischen den einzelnen Interessengruppen identifiziert. 


9.4 Einschätzungen durch die Interessengruppen 


Übergreifende Analyse der Aussagen von Interessengruppen 
zum Cybersicherheit-Zertifizierungsrahmen 


Im Rahmen der folgenden Analyse wurden die Interessengruppen näher betrachtet, 
die sich nach de Vries et al. (2003) in der Regel auch an Projekten zur Normung in IT- 
relevanten Bereichen beteiligen. Abbildung 9.4 zeigt auf, dass Unternehmensverbän- 
de und Unternehmen die aktivsten Akteure im Betrachtungszeitraum in Bezug auf die 
Anzahl der Beiträge waren, gefolgt von Standardisierungsorganisationen und Kon- 
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Abb. 9.4: Anzahl der Beiträge von interessierten Kreisen (Quelle: Eigene Darstellung). 


formitätsbewertungsstellen. Die Mitgliedstaaten bzw. deren Behördenvertreter haben 

nach Kenntnis der Autorin im Betrachtungszeitraum keine offiziellen Stellungnahmen 

veröffentlicht, jedoch ihre Ansichten auf einer von der Kommission und der ENISA 

(ENISA conference 2018) organisierten Konferenz zum Ausdruck gebracht. 

Die Diskussion zu dem im Verordnungsvorschlag geplanten Rahmen für die Zerti- 
fizierung zur Cybersicherheit betraf vier übergreifende Themenfeldern mit den jeweils 
identifizierten Ausgestaltungsmöglichkeiten (Bundesrat 2017): 

— Ausgestaltung des Rahmens für die Konformitätsbewertung: Sollten der Rahmen 
bzw. die Konformitätsbewertung freiwillig oder verpflichtend sein (also in den 
freiwilligen, gesetzlich geregelten oder hoheitlichen Bereich fallen)? 

- Art der Konformitätsbewertung: Durch wen darf die Konformitätsbewertung 
durchgeführt werden (wird eine dritte Partei stets notwendig sein oder wird eine 
Herstellererklärung auch zulässig sein)? 

- Zugrundeliegenden Anforderungen für die Konformitätsbewertung: Gegen wel- 
che Kriterien soll die Konformitätsbewertung erfolgen (nationale versus europäi- 
sche versus globale Normen)? 

- Rollen und Verantwortlichkeiten: Wer wird den Rahmen und später die Grund- 
lagen der Konformitätsbewertung (z. B. Zertifizierungssysteme) weiterentwickeln 
und durch wen erfolgt die Überwachung der relevanten Akteure? 


30 
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Analyse der Gruppen der einzelnen interessierten Kreise 


Um zu einem tieferen Verständnis zu den Ausgestaltungsmöglichkeiten eines europäi- 
schen Cybersicherheit-Zertifizierungssystems zu kommen, werden im folgenden Ab- 
schnitt die zusammenfassten Positionen je Interessengruppe vorgestellt: 


Industrie (Unternehmen und Wirtschaftsverbände) 


Freiwillige versus verpflichtende Konformitätsbewertungen: Unternehmen und Un- 
ternehmensverbände sprechen sich grundsätzlich für freiwillige Systeme im B2C- und 
B2B-Bereich aus. Dies wird damit erklärt, dass Unternehmen ein intrinsisches Interes- 
se haben, sichere Produkte auf den Markt zu bringen. Es wurden ferner alternative Me- 
chanismen vorgeschlagen, die sich auf die Eigenverantwortung der Industrie stützen 
würden, wobei das Programm der EU zur Registrierung, Bewertung, Zulassung und 
Beschränkung chemischer Stoffe (REACH) als konkretes Beispiel diente (LEET Securi- 
ty 2017). Im B2B-Bereich wurde darauf hingewiesen, dass der Zweck der Vertrauens- 
bildung durch Zertifikate und Labels aufgrund fehlender Informationsasymmetrien 
zwischen Unternehmen in einigen Branchen nicht besteht (Bähr 2017; VDMA 2017). 

Art der Konformitätsbewertung: Unternehmen und Unternehmensverbände be- 
fürchten, dass die Einführung verpflichtender Konformitätsbewertungen durch eine 
externe dritte Partei die europäische Wirtschaft zusätzlich belasten und damit schwä- 
chen könnten. Um eine umfassende Konformitätsbewertung (einschließlich aller re- 
levanten Schnittstellen) durchführen zu können, benötigen Dritte zudem Zugriff auf 
alle relevanten Daten. Hierbei zögert die Industrie, da sie hierfür sensible Unterneh- 
mensdaten offenbaren müsste. Unternehmen weisen daraufhin, dass Selbsteinschät- 
zungen (z.B. durch unternehmensinterne Konformitätsbewertungsstellen) und eine 
darauf basierende Herstellererklärung ein angemessenes oder sogar höheres Maß an 
Sicherheit bieten können als Konformitätsbewertungen durch eine externe dritte Par- 
tei (Friedrich 2018). Da die Zertifizierung immer von einer dritten Partei durchgeführt 
wird, verursacht sie ggf. zusätzliche Kosten und die Einbindung eines Externen könn- 
te unter Umständen auch zeitintensiver sein. Dies könnte die Zeit bis zur Marktein- 
führung verlängern, was in einer durch sehr kurze Innovationszyklen gekennzeich- 
neten Branche erhebliche Nachteile mit sich bringen kann. Des Weiteren würden klei- 
ne und mittelständische Unternehmen (KMU) iiberdurchschnittlich belastet. Vertreter 
von Unternehmensverbänden weisen deshalb darauf hin, dass der vorliegende Vor- 
schlag dem etablierten neuen Rechtsrahmen (New Legislative Framework) nicht strin- 
gent folgt. Der Gesetzgeber sollte lediglich die grundlegenden Anforderungen fest- 
legen und eine Einteilung in die Module vornehmen. Als Alternative wird eine risi- 
kobasierte, horizontale Regulierung von Cybersicherheit statt einer regulatorischen 
Konformitätsbewertung vorgeschlagen (VDMA 2017). 
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Rolle der zugrundeliegenden Anforderungen und Normen: Unternehmen und Un- 
ternehmensverbände betonen die Rolle von Normen als Anforderungsdokumente. Da 
die Unternehmen, die Feedbacks eingereicht oder an Podiumsdiskussionen teilge- 
nommen haben, auf internationalen Märkten tätig sind, bevorzugen sie internatio- 
nale Normen gegenüber europäischen Normen. Dies gilt insbesondere im Zusammen- 
hang mit Unternehmen, die in globale Wertschöpfungsketten integriert sind (Euro- 
pean Commission 2017b). 

Rollen und Verantwortlichkeiten: Unternehmensverbände und Unternehmen 
stellen die Rolle und Legitimität der „Europäischen Gruppe für die Cybersicherheits- 
zertifizierung“ in Frage, die für die Empfehlung der neuer oder weiterentwickelter 
Konformitätsbewertungssysteme an die Europäische Kommission verantwortlich sein 
soll. Neue Systeme sollten vielmehr gemeinsam mit der Industrie entwickelt werden. 
Eine Konsultation, wie sie derzeit vorgeschlagen wird, ist aus Sicht der Unternehmen 
nicht ausreichend. Lediglich Angelegenheiten der nationalen Sicherheit sollten nach 
breiter Auffassung der Industrie den nationalen Behörden, beispielsweise im Rahmen 
von dem SOG-IS-Abkommen, vorbehalten bleiben (European Commission 2017b). 


Private Konformitätsbewertungsstellen 


Freiwillige versus verpflichtende Konformitätsbewertungen: Private Konformitätsbe- 
wertungsstellen, die sich zu dem Cybersecurity Act-Vorschlag geäußert haben, be- 
fürworten grundsätzlich eine verpflichtende Zertifizierung. Da die geltende Richtli- 
nie 2001/95/EG zur Produktsicherheit von einer „vernünftigerweise vorhersehbaren 
Verwendung“ ausgeht (Europäisches Parlament und der Rat 2001), deckt sie, nach 
Auffassung eines Verbandes privater Konformitätsbewertungsstellen den potentiellen 
Missbrauch verbundener IoT-Geräte im Cyberraum möglicherweise nicht ab (VdTÜV 
2017). Daher gäbe es nun einen Bedarf, die grundlegenden Anforderungen an Pro- 
dukte und Dienstleistungen zu überarbeiten (CEN/CENELEC 2018a; IFIA/CEOC 2017; 
VdTÜV 2018). Da es einige Zeit dauern wird, Cybersicherheitsaspekte in alle sektora- 
len und produktspezifischen Richtlinien zu integrieren, können verpflichtende Zerti- 
fizierungssysteme als Übergangslösung sinnvoll sein (VdTÜV 2018). Diese sollten ins- 
besondere bei Produkten mit höherem Risiko verpflichtend vorgeschrieben werden 
(IFIA/CEOC 2017). 

Art der Konformitätsbewertung: Private Konformitätsbewertungsstellen betonen 
die Wichtigkeit einer unabhängigen Zertifizierung, um Vertrauen unter den Konsu- 
menten aufzubauen und unabhängige Siegel vergeben zu können. Daher ist auch bei 
einer Regelung, die auf Freiwilligkeit setzt, eine Zertifizierung nur durch eine dritte 
Partei zu bevorzugen (IFIA/CEOC 2017). Da weder der Endnutzer die Cybersicherheit 
testen, noch der Hersteller unabhängig die Cybersicherheit bestätigen kann, ist eine 
Prüfung durch einen unabhängigen Dritten notwendig. Dazu ist es jedoch erforder- 
lich, Zugang zu den betreffenden internen Daten der Unternehmen zu erhalten, um die 
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Konformitätsbewertungen (z.B. nach einer Softwareaktualisierung) vollständig und 
kontinuierlich durchführen zu können. In diesem Zusammenhang verweisen interna- 
tionale Vereinigungen der Anbieter von Konformitätsbewertungsdienstleistungen je- 
doch darauf, dass öffentliche Behörden oftmals nicht über die notwendigen internen 
Ressourcen verfügen, um dieser Aufgabe gerecht zu werden, und betonen die Bedeu- 
tung von privaten Konformitätsbewertungsstellen (IFIA/CEOC 2017). 

Rolle der zugrundeliegenden Anforderungen und Normen: Die Vereinigungen von 
internationalen Konformitätsbewertungsstellen betonen ebenfalls die Bedeutung von 
international akzeptierten Normen als Anforderungen der Konformitätsbewertung. 
Dies ist vor allem für global agierende Hersteller und Dienstleistungsanbieter essenti- 
ell. In diesem Zusammenhang wird die Adaption von international anerkannten Zer- 
tifizierungssystemen als europäische Zertifizierungssysteme (analog der Adaption in- 
ternationaler ISO Normen als europäische Normen) vorgeschlagen (IFIA/CEOC 2017). 
Bestehende Normenreihen, wie z. B. ISO/IEC 15408, sollten dabei als Benchmark gel- 
ten (VATUV 2018). 

Rollen und Verantwortlichkeiten: Ein wesentlicher Kritikpunkt der privaten Kon- 
formitätsbewertungsstellen beinhaltet, dass die interessierten Kreise, wie z.B. der 
private Sektor (einschließlich den privaten Konformitätsbewertungsstellen oder Ver- 
braucherorganisationen), nur konsultiert, aber nicht aktiv an der Entwicklung von 
Systemen beteiligt werden sollten (VdTÜV 2018). Vorgeschlagen wird vielmehr, dass 
Vertreter der Industrie, Konformitätsbewertungsstellen sowie nationaler Behörden 
gemeinsam für die Entwicklung der Systeme verantwortlich sein sollen (IFIA/CEOC 
2017). 


Behörden der Mitgliedstaaten 


Freiwillige versus verpflichtende Konformitätsbewertungen: Ein wesentlicher Diskus- 
sionspunkt für Behörden der Mitgliedsstaaten ist die Frage, ob nationale Systeme im 
Bereich der nationalen Sicherheit aufgrund der Souveränität der Einzelstaaten in die- 
sem Bereich von einem europäischen System abgekoppelt werden sollten. Der Grund 
liegt darin, dass es den Einzelstaaten obliegt, das verfassungsmäßige Recht der Bür- 
ger in Bezug auf Sicherheit zu schützen. Daher weisen die Mitgliedstaaten auf das 
Recht der Behörden hin, eigene Konformitätsbewertungen im Bereich der nationalen 
Sicherheit zu verlangen bzw. die Konformitätsbewertung selber durchzuführen. 

Art der Konformitätsbewertung: Vertreter der Behörden der Mitgliedsstaaten dif- 
ferenzieren bei der Art der Konformitätsbewertung je nach Risiko der Produktgruppe. 
Für Produkte mit hohem Risiko verweisen die Vertreter der Behörden auf unabhängige 
Dritte in Form akkreditierter Konformitätsbewertungsstellen. Allerdings erkennen die 
Behörden bei Produkten und Diensten mit niedrigem Risiko auch die Vorteile von Her- 
stellererklärungen für die Industrie an. Um Produkte und Dienstleistungen auf hoher 
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Sicherheitsstufe beurteilen zu können, verweisen Vertreter der Behörden der Mitglied- 
staaten auf erforderliche behördliche Einbeziehung bei der Sicherheitsbewertung. 

Rolle der zugrundeliegenden Anforderungen und Normen: Vertreter der Behör- 
den betonen auch die Wichtigkeit internationaler Normung und betonen die Trans- 
parenz der zugrundeliegenden Anforderungen der Konformitätsbewertungen vor al- 
lem im Hinblick auf eine international angestrebte Akzeptanz. In diesem Zusammen- 
hang kann europäischen gegenüber internationalen Normen Vorzug gewährt werden 
(z. B. wenn diese dem Cybersicherheitsbedürfnis eher entsprechen). Dies sollte jedoch 
transparent kommuniziert werden. Ein Positionspapier des ECSO fasst den Meinungs- 
austausch während der ECSO-Sitzungen und die Kommentare der Mitgliedstaaten zu- 
sammen. Demnach haben Frankreich und Deutschland als Einzelstaaten Bedenken 
bezüglich des derzeitigen Vorschlags für den Aufbau eines Cybersicherheit-Zertifizie- 
rungsrahmens und würden die bestehenden Systeme (z. B. SOG-IS, basierend auf den 
Common Criteria) erweitern, anstatt sie zu ersetzen (ENISA conference 2018). 

Rollen und Verantwortlichkeiten: Nach Auffassung von Vertretern der Behörden 
von Mitgliedstaaten sollten die nationalen Behörden das Recht behalten, neue Kon- 
formitätsbewertungssysteme zu initiieren und die Kontinuität von Systemen, wie dem 
SOG-IS-Übereinkommen, zu gewährleisten. Des Weiteren soll die Industrie mit einbe- 
zogen werden, um diese sichere Produkte zu entwickeln (ENISA conference 2018). 


Verbraucherorganisationen 


Freiwillige versus verpflichtende Konformitätsbewertungen: Europäische Verbrau- 
cherverbände befürworten verpflichtende Zertifizierungssysteme für diejenigen Pro- 
dukte, welche ein hohes Risiko für die Gesundheit und Sicherheit der Verbraucher 
darstellen können. Falls es den Unternehmen frei überlassen wäre, ihre Produkte 
und Dienstleistungen zertifizieren zu lassen oder nicht, würde dies zu einer weiteren 
Fragmentierung des Marktes führen. Da der aktuelle Vorschlag eines Rechtsaktes 
versucht, gerade dies zu verhindern, sollten nach der Auffassung von zwei euro- 
päischen Verbraucherorganisationen Zertifizierungen verpflichtend sein (ANEC und 
BEUC 2018). 

Art der Konformitätsbewertung: Die europäischen Verbraucherorganisationen 
weisen darauf hin, dass das Vertrauen der Verbraucher auf der unabhängigen und 
unparteiischen Konformitätsbewertung beruht. Daher bevorzugen diese Interessen- 
gruppen die Durchführung der Konformitätsbewertung durch eine dritte Partei. 

Rolle der zugrundeliegenden Anforderungen und Normen: Die europäischen Ver- 
brauchervertretungen heben die Bedeutung von Normen als Anforderungen für Zerti- 
fikate hervor, um den Verbrauchern zuverlässige Informationen zu liefern (Openforum 
Europe 2017a). Darüber hinaus sehen sie die Notwendigkeit von Mindestsicherheits- 
anforderungen für alle verbundenen Produkte und Dienste, die in horizontale Richt- 


160 — 9 Konformitätsbewertung im Bereich Cybersicherheit 


linien wie die tiber die allgemeine Produktsicherheit (2001/95/EG) integriert werden 
sollten (ANEC und BEUC 2018). 

Rollen und Verantwortlichkeiten: Die europäischen Verbraucherverbände kriti- 
sieren, dass die Interessen der Verbraucher im vorliegenden Vorschlag nicht ausrei- 
chend vertreten sind, und fordern die Ernennung eines Verbraucherexperten für den 
ENISA-Verwaltungsrat. Darüber hinaus sollten Konsumenten regelmäßig konsultiert 
werden, wenn die „Europäische Gruppe für die Cybersicherheitszertifizierung“ Zerti- 
fizierungssysteme erstellt (ANEC und BEUC 2018). 


Europäische Standardisierungsorganisationen 


Freiwillige versus verpflichtende Konformitätsbewertungen: Das Europäische Institut 
für Telekommunikationsnormen (ETSI) befürwortet, dass der aktuelle Vorschlag auch 
in Zukunft nur für freiwillige Zertifizierungen gelten soll, wobei für verpflichtende 
Konformitätsbewertungen im Bereich Cybersicherheit zukünftig der neue Rechtsrah- 
men (New Legislative Framework) gelten soll (ETSI 2018). Nationale Zertifizierungs- 
systeme oder europäische Abkommen, wie z. B. SOG-IS, sollten nicht generell ausge- 
schlossen werden, insbesondere wenn die betroffenen Produkte und Dienstleistungen 
sich auf den Bereich der nationalen Sicherheit beziehen. Die Europäischen Komitees 
für Normung und für elektrotechnische Normung (CEN und CENELEC) empfehlen hin- 
gegen, den neuen Rechtsrahmen (New Legislative Framework) konsequent anzuwen- 
den, anstatt ein paralleles Zertifizierungssystems zu etablieren, welches zur Verwir- 
rung am Markt führen würde (CEN/CENELEC 2018a). 

Art der Konformitätsbewertung: Europäische Standardisierungsorganisationen 
weisen darauf hin, dass der aktuelle Rechtsrahmen auch die Möglichkeit der Herstel- 
lererklärung vorsieht und dieses Prinzip beibehalten werden sollte. Dabei wird auf 
die Erfahrungen im gesetzlich geregelten Bereich, beispielsweise auf dem Gebiet der 
Produktsicherheit, verwiesen. Dies versetzt insbesondere KMUs in die Lage, sich im 
Wettbewerb mit großen Unternehmen zu behaupten (ETSI 2018). 

Rolle der zugrundeliegenden Anforderungen und Normen: Die große Bedeu- 
tung von Normen im Zusammenhang mit Konformitätsbewertungssystemen wird 
von den europäischen Standardisierungsorganisationen hervorgehoben. ETSI und 
CEN/CENELEC empfehlen, wenn immer möglich, sich auf internationale Normen 
zu beziehen, um den Zugang der europäischen Industrie zu globalen Märkten nicht 
zu behindern. Dabei sollte der angestrebte Rahmen bestehende, weit verbreitete 
Normen, wie z.B. die Common Criteria (ISO/IEC 15408), Anforderungen an ISMS 
(ISO/IEC 27000ff) und Normen für industrielle Steuerungs- und Automatisierungs- 
technik (IEC 62443) sowie sektorspezifische Normen berücksichtigen (CEN/CENELEC 
2018a). Des Weiteren besteht der Wunsch von CEN/CENELEC, dass die formell an- 
erkannten europäischen und internationalen Standardisierungsorganisationen ein- 
geladen werden, die zugrundeliegenden Anforderungen und Normen zu erstellen. 
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Hierbei sollten den international anerkannten Normen, die durch ISO, IEC oder ITU 
entwickelt wurden, Priorität eingeräumt werden. 

Rollen und Verantwortlichkeiten: In Bezug auf Zuständigkeiten wird von CEN/ 
CENLEC auf den Neuen Ansatz und dem NLF verwiesen, der eine Gewaltenteilung 
zwischen Legislative, Standardisierung und Konformitätsbewertung vorsieht (CEN/ 
CENELEC 2018a). ETSI weist darauf hin, dass Interessengruppen, wie Konsumenten 
sowie die Industrie im Rahmen klarer Prozesse die Möglichkeit haben sollten, Feed- 
back zu neuen und Änderungen an bestehenden Systemen vorzuschlagen (ETSI 2018). 
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Zusammenfassend lässt sich feststellen, dass die Meinungen innerhalb einer Inter- 
essensgruppe recht konsistent sind und die interessierten Kreise gemäß ihrer Stel- 
lung im System der Konformitätsbewertung argumentiert haben. Die kontroversen 
Diskussionen von Interessengruppen verdeutlichen jedoch, dass Initiativen zur Er- 
höhung der Cybersicherheit und Vertrauen von IKT Produkten und -Diensten zwar 
begrüßt werden, der aktuelle Vorschlag eines Rechtaktes zur Cybersicherheit viele, 
zurzeitnoch unbeantwortete, offene Fragen aufwirft. Diese umfassen die diskutierten 
vier Fragen zur Ausgestaltung bzw. Entwicklung und Überwachung von Konformitäts- 
bewertungssystemen. 

In Bezug auf freiwillige versus verpflichtende Zertifizierungen, plädiert die In- 
dustrie für freiwillige Konformitätsbewertung und setzt auf die Mechanismen der 
wirtschaftlichen Selbstverwaltung. Während sie auf die langjährigen, guten Erfah- 
rungen im Bereich der Herstellererklärung hinweist, sprechen sich private Konformi- 
tätsbewertungsstellen und Verbraucherverbände für eine verpflichtende Konformi- 
tätsbewertung durch eine dritte Seite aus (Art der Konformitätsbewertung), was wenig 
überrascht, wenn man sich die Rollenverhältnisse vor Augen ruft. In Bezug auf die 
zugrundeliegenden Anforderungen der Konformitätsbewertung wird die Rolle von in- 
ternationalen Normen überwiegen hervorgehoben. Einigkeit besteht ferner in der bis 
dato unzureichenden Einbindung von allen relevanten Interessengruppen (insbeson- 
dere der Wirtschaft) bei der Entwicklung des Rahmens und zukünftigen Rollen und 
Verantwortlichkeiten der Europäischen Gruppe für die Cybersicherheitszertifizierung. 

In der Gesamtschau der Positionen der verschiedenen Interessengruppen wird 
deutlich, dass eine Konsensfindung schwierig sein wird und eine differenziertere Be- 
trachtung des Rahmens hilfreich wäre. Aus ordnungspolitischer Sicht kann das be- 
schriebene System der Konformitätsbewertungssystem dazu beitragen, die richtige 
Einordnung von IKT-Produkten und -Dienste in die drei Sektoren freiwilliger Bereich, 
gesetzlich geregelter Bereich und hoheitlicher Bereich vorzunehmen. Daraus würde 
sich der Grad der Verbindlichkeit, die Art der Konformitätsbewertung sowie der Ge- 
genstand der Konformitätsbewertung ableiten lassen. 


162 —— 9 Konformitätsbewertung im Bereich Cybersicherheit 


Zertifizierungssysteme im freiwilligen Bereich können zur Erhöhung von Cyber- 
sicherheit von IKT Produkten und -Diensten beitragen, wenn diese im Sinne der 
Signaling-Theorie von den Anbietern selbst genutzt werden können bzw. aktiv von 
den Konsumenten eingefordert werden. In diesem Zusammenhang beinhaltet der 
Cybersecurity Act Vorschläge für die Einführung von Siegeln und Kennzeichnungen. 
Diese Siegel oder Kennzeichnungen wären dann erfolgreich, wenn sie in den Kauf- 
entscheidungsprozessen der Konsumenten mitberücksichtigt würden. Dazu müssten 
die Kriterien für ein Zertifikat/Siegel jedoch risikobasiert, verwendungsorientiert und 
für den Konsumenten nachvollziehbar sein. Falls eine Abstufung (wie z.B. bei der 
Energieverbrauchskennzeichnung) vorgesehen wird, so sollte diese auf einer wis- 
senschaftlich fundierten Bewertungsmethode basieren. In diesem Zusammenhang 
wird auf die Forschungs- und Entwicklungstätigkeiten des Joint Research Zentrums 
der Europäischen Kommission hingewiesen, das sich mit der Festlegung geeigneter 
Sicherheitskennzahlen und Vergleichswerten im Zuge einer quantitativen Bewertung 
von Produkten hinsichtlich der Cybersicherheit befasst. Falls Siegel und Kennzeich- 
nungen eingesetzt würden, sollte der Konsument jedoch stets darüber informiert sein, 
dass es, ähnlich wie bei der Produktsicherheit, eine absolute Cybersicherheit nicht 
geben kann (European Economic and Social Committee 2018). 

Nach dem Inkrafttreten des Cybersecurity Acts würde der Rahmen sowie spe- 
zifische Zertifizierungssysteme entwickelt werden, die nach dem jetzigen Verord- 
nungsentwurf freiwilliger Natur sein würden. In diesem Zusammenhang würde der 
Überwachung der Einhaltung der zugrundeliegenden Kriterien eine besondere Rol- 
le zukommen, insbesondere falls die Herstellererklärung ein mögliches Mittel der 
Konformitätsbewertung darstellt. 

Die NIS-Richtlinie zum Schutz von kritischen Infrastrukturen und wesentlichen 
Diensten hat gezeigt, dass freiwillige Ansätze im Bereich der Cybersicherheit jedoch 
an Grenzen stoßen und somit die betroffenen Unternehmen verpflichtet werden muss- 
ten, Maßnahmen zur Netzwerk- und Informationssicherheit zu treffen und diese im 
Bereich der kritischen Infrastrukturen in Form von Zertifikaten nachzuweisen (Ben- 
diek et al. 2017). Eine verpflichtende Zertifizierung aller Unternehmen, die im Bereich 
IoT Produkte und Dienste anbieten, würde jedoch Unternehmen und insbesondere 
KMUs aufgrund der zu erwartenden hohen Kosten in deren Wettbewerbsfähigkeit im 
globalen Markt benachteiligen. Die NIS-Richtlinie begegnet diesem Aspekt damit, 
dass Kleinstunternehmen und kleine Unternehmen im Bereich der Anbieter digitaler 
Dienste von Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen ausge- 
nommen sind (BSI 2017). Eine kostengünstige Variante stellt die Herstellererklärung 
dar. 

Der jetzige Verordnungsentwurf gibt einen Hinweis darauf, dass Rechtsvorschrif- 
ten folgen können, die mit einer Verbindlichkeit einer Zertifizierung einhergehen kön- 
nen (Bundesrat 2017). In Bezug auf die verpflichtenden Zertifizierungen im gesetzlich 
geregelten Bereich würden jedoch die langjährigen positiven Erfahrungen dafür spre- 
chen, die bewährte Methodik des Neuen Ansatzes und des NLF dahingehend anzu- 
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wenden, dass der Staat wesentliche Anforderungen an die Cybersicherheit (entwe- 
der als Zusatz zu bestehenden Richtlinien/Verordnungen oder als neue horizontale 
Verordnung) festlegt und eine Einteilung in die Module vornimmt, woraus sich die 
Art der Konformitätsbewertung (einschließlich der Möglichkeit der Herstellererkla- 
rung) ergibt. Die Spezifizierung der grundlegenden Anforderungen wiirde durch har- 
monisierte (vorzugsweise international anerkannte) Normen erfolgen mit der zuvor 
beschriebenen Vermutungswirkung fiir Unternehmen, die diese Normen nutzen. Bei 
einer konsequenten Anwendung des neuen Ansatzes und des NLF wiirde folgen, dass 
sich eine eventuell verpflichtende Zertifizierung bzw. die verpflichtende Nutzung von 
Siegeln und Kennzeichnungen fiir Unternehmen nicht aus dem Cybersecurity Act son- 
dern aus produktgruppenspezifischen bzw. horizontalen Verordnungen ergeben wiir- 
den. Eine derzeit viel diskutierte, konkrete Möglichkeit stellt die Einbeziehung von 
IoT-Produkten und Diensten in die Funkanlagenrichtlinie 2014/53/EU (Radio Equip- 
ment Directive) im Kapitel 3(3) dar (ANEC und BEUC 2018). In den grundlegenden 
Anforderungen der Funkanlagenrichtline werden cybersicherheitsrelevante Schutz- 
anforderungen (wie z.B. Schutz vor missbräuchlicher Nutzung personenbezogener 
Daten sowie vor Betrug) formuliert, wobei der Europäischen Kommission im Jahr 2014 
die Befugnis übertragen wurde, delegierte Rechtsakte zur Zuordnung von Kategorien 
und Klassen von Funkanlagen zu den in der Funkanlagenrichtlinie genannten Anfor- 
derungen zu erlassen. 

Für Produkte und Dienstleistungen, die ein hohes Risiko für die öffentliche Si- 
cherheit darstellen, scheint es ratsam und auch für andere Akteure akzeptabel, die- 
se in den hoheitlichen Bereich aufzunehmen und der nationalen Souveränität den 
Mitgliedsstaaten zu überlassen. Die Mitgliedstaaten dürften dann eigene Anforderun- 
gen festlegen (z.B. mit eigenen technischen Spezifikationen) und, falls gewünscht, 
die Konformitätsbewertung auch eigenständig vornehmen. In diesem Zusammen- 
hang wäre eine europaweit einheitliche Einordnung notwendig, welche Produkte 
und Dienste in diesen hoheitlichen Bereich fallen. Da jedoch Cybersicherheit keine 
Grenzen kennt und Unternehmen von einem europaweit gültigen Zertifikat aus Kos- 
ten- und Zeitgründen stets profitieren würden, ist demzufolge angemessen, auch im 
hoheitlichen Bereich eine weitestgehend Harmonisierung anzustreben. Dies sollte 
jedoch mit dem Ziel geschehen, das allgemeine europäische Cybersicherheitslevel 
auch im Bereich innere Sicherheit zu erhöhen anstelle eines vielfach befürchteten 
race to the bottom (ENISA conference 2018). 

Zusammenfassend bestehen die größten Herausforderungen darin, zu definieren, 
welche Produkte, Dienste und Systeme in welchen Bereich der Konformitätsbewer- 
tung fallen, wobei ein risikobasierter Ansatz durchweg gefordert wird. Insbesondere 
für die Masse an IoT-Geräten im Bereich B2C werden gesetzlich vorgeschriebene Ba- 
sissicherheitsanforderungen gefordert. Aus Standardisierungssicht besteht hier noch 
Handlungsbedarf bei der Erstellung von vorzugsweise international anerkannten 
Standards und Normen. 
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9.6 Ausblick 


Nachdem mehrere Ausschüsse Änderungswünsche zum Verordnungsentwurf des Cy- 
bersecurity Acts eingereicht haben, wird das Europäische Parlament seine Position 
formulieren und voraussichtlich im Herbst 2018 die Trilog-Verhandlungen zwischen 
der Europäischen Kommission, dem Europäischen Rat und dem Europäischen Parla- 
ment beginnen (European Parliament Research Service Blog 2018). Der Vermerk vom 
Rat der Europäischen Union vom 29.05.2018 zur allgemeinen Ausrichtung des Verord- 
nungsvorschlages des Cybersecurity Acts bezieht die Herstellererklärung neben der 
unabhängigen Prüfung durch Dritte als Möglichkeit der Konformitätsbewertung ein. 
Voraussetzung hierfür sei, dass die IKT-Prozesse, -Produkte- und -Dienste ein geringes 
Risiko darstellen und eine geringe Komplexität aufweisen und eine niedrige Vertrau- 
enswürdigkeitsstufe aufweisen (Rat der Europäischen Union 2018). 

In Bezug auf die Ausgestaltung eines europäischen Systems der Konformitäts- 
bewertung im Bereich Cybersicherheit hat die Auswertung der Aussagen der Inter- 
essengruppen ergeben, dass das heutige Konformitätsbewertungssystem mit dem 
starken Fokus auf produktbasierte, statische Prüfung in der digitalen Transforma- 
tion und insbesondere in Bezug auf Cybersicherheit einer Anpassung bedarf. Sehr 
dynamische Innovationszyklen mit sehr kurzen Markteinführungszeiten sowie die 
verstärkte Individualisierung durch Möglichkeiten der additiven Fertigungstechno- 
logien verlangen nach einem Wandel der Systeme zur Konformitätsbewertung (Carl 
2017). Die Nutzung großer Datenmengen (Big Data) sowie Techniken zur Modellierung 
und Simulation bieten beispielsweise Möglichkeiten für dynamische Zertifizierungen, 
wobei eine Überprüfung der Anforderungen auf Basis von Standards kontinuierlich 
und (teilJautomatisiert erfolgen soll. Eine lebenszyklusorientierte Zertifizierung von 
IoT-Produkten würde ferner der Herausforderung begegnen, dass Produkte nach dem 
Inverkehrbringen möglichen Cyberangriffen ausgesetzt sind und ständigen Sicher- 
heitswartungen (z.B. in Form von Softwareupdates) bedürfen, wozu es bereits erste 
Forschungs- und Entwicklungsaktivitäten für dynamische Zertifizierungen im Bereich 
Cloud-Dienstleistungen in Bezug auf Datensicherheit und Datenschutz gibt. 
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